“L'attacco alla Regione Lazio è partito dal pc di un dipendente in smartworking”, “Attacco hacker, sentito per tre ore il dipendente della Regione Lazio”, “L'attacco hacker alla Regione Lazio è nato dal pc di un dipendente in smartworking”, “Attacchi Hacker in azienda: i dipendenti sono il ‘cavallo di Troia’”.

Questi sono alcuni dei titoli (i primi tre relativi all’attacco ransomware che ha bloccato i sistemi della sanità della Regione Lazio nell’estate del 2021), che si caratterizzano in maniera univoca per un aspetto: la evidente colpevolizzazione dell’attività del dipendente. Sembra quasi che i sistemi informatici nei quali i lavoratori operano siano sempre sicuri e inattaccabili, e invece sia la condotta (scriteriata e irresponsabile) del dipendente l’unica falla, la prima e unica causa, che apre la porta a devastanti attacchi.

Questa narrazione riporta alla mente un’altra, fortunatamente sempre più rara, anche se non del tutto scomparsa: quella che colpevolizzava i lavoratori per i sinistri sul lavoro. Per gli incidenti informatici, invece, questa linea ricostruttiva, che chiaramente deresponsabilizza l’impresa o l’ente che sia in posizione datoriale, si ripete costantemente. Il lavoratore non è vittima dell’insicurezza informatica, diventa attivo carnefice.

Non si può negare che comportamenti a volte irresponsabili (o addirittura criminali, come la cooperazione attiva con gli attaccanti) contribuiscano in maniera attiva a molti incidenti informatici, ma si deve respingere con forza qualunque ricostruzione che non si basi sull’analisi della complessiva (in)sicurezza dei sistemi informatici aziendali. Anche perché, secondo un recente studio della Cybereason, i dipendenti rischiano di essere (nel settore privato) tra le maggiori vittime degli attacchi, e in particolare degli attacchi ransomware. Nello studio si cita il caso della Evraz (una società produttrice di acciaio), la quale nel 2020 ha annunciato rilevanti riduzioni di personali in seguito proprio a un attacco ransomware. E si rileva come quasi un terzo degli enti oggetto dello studio abbiano indicato di aver ridotto (in maniera maggiore o minore) la forza-lavoro in conseguenza di attacchi informatici.

La situazione è tanto più preoccupante quanto più aumenta l’utilizzo delle tecnologie, e dello smart working, come è accaduto durante la pandemia. Lo smart working (se organizzato in maniera corretta e sicura) può apportare rilevantissimi vantaggi sia alle imprese che ai lavoratori, ma è anche (come appunto nel caso della Regione Lazio) la “porta d’ingresso” di possibili attacchi. Purtroppo, in moltissimi casi lo smart working si è limitato (complice la pandemia) al “usa il tuo computer/smartphone/tablet per lavorare da casa”, senza alcuna formazione specifica, e senza alcuna ragionevole misura di sicurezza. E le conseguenze (deteriori) non hanno tardato a manifestarsi, come dimostra l’aumento esponenziale degli attacchi informatici ad aziende e enti.

E allora qual è la soluzione? Addossare tutte le responsabilità ai dipendenti e collaboratori che aprono un link sbagliato? La soluzione (o meglio una soluzione che mitighi il rischio) è quella di adottare un approccio integrato e organico, idoneo a gestire i rischi inevitabili nell’uso degli strumenti informatici, sia nelle sedi aziendali che in smart working. Non si tratta solo di proteggere i dati personali, ma tutte le informazioni aziendali, che in ogni realtà (anche quelle più saldamente legate al mondo produttivo non tecnologico) sono oramai nativamente digitali (e non potrebbe essere altrimenti).

La strada quindi non può essere certo indicata in una prospettiva quasi luddista del ritorno alle inefficienze legate a procedure analogiche, dove trionfi la carta (che non può essere oggetto di attacchi ransomware, ma che porta ben altri svantaggi e rischi), ma al contrario nell’abbracciare in pieno una logica esclusivamente digitale, in sicurezza.

E qui abbiamo un alleato (forse) inaspettato: il Regolamento europeo sulla protezione dei dati personali 679/2016, spesso indicato con l’acronimo Gdpr (General Data Protection Regulation). Il Gdpr, infatti, individua l’obbligo di sicurezza tra i suoi principi generali (all’articolo 5), dedica un intero articolo (il 32) alle misure di sicurezza organizzative e tecniche, e introduce i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25).

In altre parole, la sicurezza dei dati personali (che diventa, in buona sostanza, sicurezza delle informazioni aziendali, dato che impatta sulla progettazione dei sistemi stessi) deve essere tenuta da conto nella progettazione e implementazione di tutti i sistemi e i processi che trattino dati personali. Prendiamo l’esempio dello smart working: realizzare quest’attività in maniera coerente al Gdpr presuppone la progettazione adeguata dei sistemi, la protezione dei canali di comunicazione, la corretta configurazione dei sistemi in dotazione ai dipendenti (che siano personali o meno), la creazione di consapevolezza, attraverso idonee iniziative formative, e la trasparenza dei trattamenti stessi, con delle adeguate informazioni.

La prospettiva normativa è (evidentemente) invertita rispetto alla narrazione dalla quale siamo partiti: è l’ente (in questo caso quale titolare del trattamento) il soggetto sul quale gravano tutti questi obblighi. È il datore di lavoro che deve garantire il rispetto dei principi fondamentali del Gdpr, tra cui la sicurezza, ponendo in essere idonee misure tecniche e organizzative. Ed è quindi il datore di lavoro a essere responsabile delle violazioni di sicurezza (e delle loro conseguenze).

Degli interessanti spunti possono essere tratti dal Protocollo nazionale sul lavoro in modalità agile, sottoscritto il 7 di dicembre del 2021. Si legge nel preambolo che “vi è la necessità di una migliore definizione del lavoro agile e di un maggior supporto ai lavoratori e ai datori di lavoro nel suo utilizzo, anche in considerazione del ricorso massivo che esso consente alle tecnologie digitali, con tutte le implicazioni sul piano di un corretto utilizzo di tali tecnologie e della necessità di idonee garanzie della sicurezza dei dati aziendali e della tutela dei dati personali dei lavoratori”.

La centralità delle garanzie di sicurezza dei dati aziendali, e della tutela dei dati personali dei lavoratori permea una parte sostanziale dell’accordo (anche con riguardo alle possibilità di controllo a distanza del lavoratore) e viene declinata in particolare nell’articolo 12, che individua gli obblighi del datore di lavoro (e del lavoratore) funzionali alla sicurezza delle informazioni, richiamando proprio gli obblighi individuati dal Gdpr.

La corretta progettazione dei sistemi, l’implementazione di misure di sicurezza, l’adozione di adeguate policy, accompagnate da iniziative formative e di sensibilizzazione dei lavoratori “sia sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile, compresa la gestione dei data breach” sono dei potenti strumenti di riduzione dei rischi. Ed è molto interessante, infine, la raccomandazione di effettuare la valutazione d’impatto sulla protezione dei dati personali, o data protection impact assessment (Dpia), prevista dall’articolo 35 del Gdpr.

La Dpia è un processo di analisi e valutazione complessiva dei trattamenti e dei rischi incombenti sui dati personali, e delle misure da adottare per ridurre i rischi stessi, ed è obbligatoria per i trattamenti che comportino un rischio elevato per i diritti e le libertà delle persone fisiche. E all’interno del processo di valutazione d’impatto c’è un obbligo che spesso viene omesso o comunque trascurato: la raccolta (“se del caso”) delle opinioni degli interessati o dei loro rappresentanti. Nel contesto dello smart working (e più in generale dell’informatizzazione dei processi aziendali) gli interessati per eccellenza sono dipendenti: la loro consultazione, nell’ambito della Dpia, potrebbe essere un’importante opera di coinvolgimento, utile sia dal punto di vista della sensibilizzazione, che dell’aumento della sicurezza, tramite proposte operative. Il coinvolgimento dei lavoratori nei processi e nelle strategie di sicurezza informatica è un elemento importantissimo, che invece viene spesso trascurato (o omesso del tutto).

Per concludere, la sicurezza informatica è un tassello fondamentale per ogni organizzazione aziendale, sia per la sua efficienza che per ridurre i rischi relativi ad attacchi esterni (senza dimenticare gli eventi interni, dai malfunzionamenti all’errore umano). Il Gdpr, introducendo precisi obblighi che gravano sul titolare del trattamento (e dunque sul datore di lavoro), indica la via maestra della responsabilizzazione e dell’adozione di idonee misure organizzative e tecniche, da adottarsi fin dall’inizio, e non quale soluzione più o meno arrangiata a posteriori.

In questo contesto i lavoratori giocano un ruolo importante, anzi fondamentale: questo ruolo necessita però di consapevolezza e formazione, anche per partecipare, in maniera proattiva e non passiva, a questi processi aziendali, diventati oramai cruciali.

E forse nel futuro vedremo titoli come “l’azienda X non era preparata all’attacco informatico” o “l’Ente X vittima dei ransomware perché non aveva implementato misure di sicurezza”, senza che venga additato quale carnefice il dipendente che, magari in assenza di qualsiasi idonea formazione e senza sufficiente consapevolezza, si sia trovato a dover lavorare in smart working con un computer “casalingo”, utilizzando la rete internet domestica.

Giovanni Battista Gallus, avvocato, fellow del centro Nexa su internet e società del Politecnico di Torino