Come proteggere i sistemi informatici aziendali da condotte dai pericoli (interni ed esterni) all’impresa? Che si tratti di un dipendente infedele o di un hacker malintenzionato è fondamentale che la società si organizzi per disciplinare in modo preciso le modalità di utilizzo dei propri sistemi informatici.
L’adozione di regole interne chiare e formalizzate sull’utilizzo dei sistemi informatici aziendali si inserisce proprio in questa prospettiva, configurandosi come uno strumento di prevenzione dei rischi e di governo consapevole delle tecnologie digitali. Un regolamento o una policy interna consente all’impresa di definire in modo puntuale le modalità di utilizzo dei sistemi informatici, di delimitare le responsabilità dei soggetti che vi accedono e di promuovere una cultura della sicurezza informatica coerente con i principi di diligenza, correttezza e buona fede nell’esecuzione della prestazione lavorativa.
L’obiettivo del presente contributo è quello di illustrare come si redige una policy aziendale sull’utilizzo dei sistemi informatici, analizzandone la struttura, i contenuti essenziali e la funzione organizzativa. Intendiamo fornire ai lettori le coordinate per comprendere perché ogni impresa, indipendentemente dal settore di attività, dovrebbe dotarsi di un regolamento interno in materia e farlo espressamente conoscere e sottoscrivere ai propri dipendenti e collaboratori, quale presidio fondamentale di sicurezza e responsabilizzazione.
Infine, riporteremo un modello fac-simile affinché sia chiara la struttura base di una regolamento aziendale sull’utilizzo dei sistemi informatici.
I sistemi informatici come asset aziendali e oggetto di disciplina interna
I sistemi informatici non possono più essere considerati meri strumenti di supporto all’attività lavorativa, bensì veri e propri asset aziendali, dotati di un valore economico, strategico e giuridico autonomo. Su di essi transitano informazioni riservate, dati personali, segreti commerciali, know-how, documentazione contrattuale e, più in generale, elementi essenziali per la continuità operativa dell’organizzazione.
La loro compromissione, anche temporanea, può determinare conseguenze rilevanti sotto il profilo patrimoniale e reputazionale, incidendo sull’affidabilità dell’impresa nei confronti di clienti, partner commerciali e autorità pubbliche.
La policy aziendale sull’utilizzo dei sistemi informatici assolve a una funzione essenziale di governo interno degli asset digitali, ponendosi come strumento di regolazione dei comportamenti e di tutela dell’infrastruttura tecnologica. Essa consente di qualificare formalmente i sistemi informatici come beni aziendali destinati allo svolgimento della prestazione lavorativa, delimitandone le modalità di utilizzo consentite e vietate.
La funzione di una simile policy non si esaurisce, tuttavia, nella mera indicazione di divieti o prescrizioni operative. La disciplina sull’utilizzo dei sistemi informatici assume un ruolo centrale anche sotto il profilo della responsabilizzazione dei soggetti che accedono alle risorse digitali aziendali, contribuendo a rendere consapevoli dipendenti e collaboratori dei rischi connessi all’utilizzo delle tecnologie informatiche e delle possibili conseguenze derivanti da un uso non conforme.
Sotto il profilo della rilevanza giuridica, l’esistenza di una policy formalizzata sui sistemi informatici può assumere un ruolo significativo anche in caso di contenzioso o di accertamenti da parte delle autorità competenti. La predisposizione di un regolamento interno consente infatti all’impresa di dimostrare l’adozione di misure organizzative idonee a prevenire violazioni della sicurezza, danneggiamenti informatici, accessi abusivi o trattamenti illeciti di dati. Ciò rileva tanto in ambito civilistico, ai fini dell’accertamento della diligenza organizzativa dell’azienda, quanto in ambito lavoristico e, in determinate ipotesi, penale o amministrativo.
Ambito di applicazione soggettivo e oggettivo del regolamento sui sistemi informatici
Un profilo centrale nella redazione di un regolamento interno riguarda la corretta delimitazione dell’ambito di applicazione della policy sui sistemi informatici. Dal punto di vista soggettivo, la disciplina non dovrebbe essere limitata ai soli lavoratori subordinati, ma estendersi a tutti coloro che, a vario titolo, accedono ai sistemi informatici aziendali nello svolgimento di attività in favore dell’impresa.
In un’organizzazione moderna, infatti, l’utilizzo dei sistemi informatici non è circoscritto ai dipendenti in senso stretto, ma coinvolge spesso collaboratori esterni, consulenti, fornitori di servizi, tecnici incaricati e, in taluni casi, soggetti terzi autorizzati ad operare sui sistemi informatici aziendali o su quelli dei clienti. Una policy efficace deve quindi individuare espressamente i destinatari delle regole, chiarendo che l’obbligo di conformarsi alle disposizioni interne sussiste indipendentemente dalla natura del rapporto contrattuale e dalle mansioni formalmente attribuite.
Sotto il profilo oggettivo, il regolamento dovrebbe disciplinare l’utilizzo dei sistemi informatici in senso ampio, ricomprendendo non solo le infrastrutture e le risorse presenti all’interno delle sedi aziendali, ma anche l’accesso remoto, l’operatività presso clienti o terze parti e l’utilizzo di strumenti informatici al di fuori dei locali dell’impresa.
Sistemi informatici, autorizzazioni e regole di utilizzo: il cuore della policy aziendale
Il nucleo centrale di un regolamento interno sull’utilizzo dei sistemi informatici è rappresentato dalla disciplina delle modalità di accesso e di utilizzo delle risorse digitali messe a disposizione dall’impresa. È in questa sezione che la policy assume una funzione operativa concreta, traducendo i principi generali di sicurezza e correttezza in regole organizzative idonee a orientare i comportamenti quotidiani dei destinatari.
Una policy efficace deve innanzitutto chiarire che i sistemi informatici aziendali sono destinati esclusivamente allo svolgimento della prestazione lavorativa o professionale e che ogni utilizzo per finalità estranee agli interessi dell’impresa deve essere espressamente regolato o vietato.
Particolare rilievo assume la disciplina delle autorizzazioni, intese come presupposto necessario per l’accesso ai sistemi informatici e per l’esecuzione di specifiche operazioni. La policy dovrebbe prevedere che l’accesso alle risorse informatiche sia consentito solo nei limiti delle mansioni affidate e sulla base di credenziali personali, attribuite secondo il principio di necessità e proporzionalità. In tal modo, il regolamento contribuisce a ridurre il rischio di accessi indebiti, utilizzi impropri o interventi non autorizzati sui sistemi informatici, rafforzando il controllo interno sull’infrastruttura tecnologica.
Accanto alle regole di accesso, la policy sui sistemi informatici deve disciplinare in modo chiaro le condotte vietate, individuando le principali tipologie di comportamenti suscettibili di compromettere la sicurezza dei sistemi e dei dati. La previsione di divieti espressi non ha una mera funzione sanzionatoria, ma svolge un ruolo educativo e preventivo, rendendo i destinatari consapevoli delle conseguenze che possono derivare da un uso negligente o scorretto delle risorse informatiche.
Tracciabilità, controlli e tutela dei sistemi informatici tra organizzazione e diritto del lavoro
Un ulteriore profilo di particolare rilevanza riguarda la tracciabilità delle attività svolte sui sistemi informatici aziendali e le modalità di esercizio dei controlli da parte dell’impresa. Invero, la possibilità di ricostruire gli accessi, le operazioni compiute e le interazioni con i sistemi informatici assume un’importanza cruciale sia sotto il profilo della sicurezza, sia ai fini della tutela dell’organizzazione in caso di incidenti o contestazioni.
La policy deve pertanto chiarire se e in che misura le attività sui sistemi informatici siano soggette a registrazione e conservazione, individuando le finalità di tali trattamenti in termini di sicurezza, continuità operativa e rispetto degli obblighi normativi.
La previsione di meccanismi di tracciabilità non può tuttavia prescindere da un attento bilanciamento con i diritti dei lavoratori. La disciplina dei controlli sui sistemi informatici si colloca infatti all’intersezione tra esigenze organizzative dell’impresa e tutela della sfera personale e professionale dei soggetti che utilizzano gli strumenti di lavoro. Una policy ben strutturata deve rendere trasparenti le modalità di raccolta e conservazione dei log, evitando forme di controllo occulto o sproporzionato e chiarendo che le informazioni raccolte sono trattate nel rispetto dei principi di liceità, pertinenza e non eccedenza.
In questa prospettiva, il regolamento interno sui sistemi informatici svolge anche una funzione di garanzia, poiché consente ai destinatari di conoscere preventivamente l’esistenza di sistemi di tracciamento e le regole che ne disciplinano l’utilizzo. La chiarezza delle disposizioni contribuisce a prevenire conflitti e contestazioni in ambito lavoristico, rafforzando al contempo la legittimità delle misure adottate dall’impresa per la tutela dei propri sistemi informatici.
La policy sui sistemi informatici come presidio di sicurezza anche per imprese non regolamentate
La policy in esame funge da presidio di sicurezza fondamentale anche per quelle imprese che non operano in settori formalmente regolamentati o soggetti a specifici obblighi normativi in materia di cybersicurezza. È infatti diffusa l’erronea convinzione secondo cui l’adozione di regole interne strutturate sui sistemi informatici sia necessaria soltanto per operatori appartenenti a comparti strategici o ad alto impatto tecnologico.
In realtà, la crescente dipendenza delle attività economiche dai sistemi informatici rende tale strumento organizzativo rilevante per qualsiasi impresa, indipendentemente dalle dimensioni o dal settore di mercato.
Anche le realtà di piccole e medie dimensioni fanno oggi un uso intensivo dei sistemi informatici per la gestione della contabilità, dei rapporti con i clienti, delle comunicazioni interne ed esterne e del trattamento di dati personali.
In assenza di una policy interna, tali attività vengono spesso svolte sulla base di prassi informali, affidate all’esperienza individuale dei lavoratori, con un conseguente aumento del rischio di errori, utilizzi impropri o comportamenti non conformi. Al contrario, la predisposizione di un regolamento sui sistemi informatici consente di fissare un quadro di riferimento chiaro e condiviso, idoneo a ridurre l’incertezza operativa e a promuovere comportamenti coerenti con le esigenze di sicurezza dell’impresa.
Sotto questo profilo, la policy interna assume una funzione di accountability organizzativa, permettendo all’azienda di dimostrare di aver adottato misure ragionevoli e proporzionate per la tutela dei propri sistemi informatici e delle informazioni trattate.
Ciò rileva non solo in termini di prevenzione degli incidenti di sicurezza, ma anche sotto il profilo della gestione delle responsabilità in caso di eventi avversi. La presenza di una policy formalizzata e conosciuta dai destinatari rafforza infatti la posizione dell’impresa, consentendo di ricondurre eventuali violazioni a comportamenti individuali difformi dalle regole interne, anziché a carenze strutturali dell’organizzazione.
Diritto d’impresa, digitalizzazione e cyber security. Supporto da avvocati esperti
Il nostro Studio Legale, con profilo specifico nulle nuove tecnologie, assiste imprese e organizzazioni nella progettazione e nella redazione di regolamenti interni e policy aziendali in materia di sistemi informatici e cybersicurezza, offrendo supporto legale nella definizione di presìdi organizzativi coerenti con il quadro normativo nazionale ed europeo.
L’attività di consulenza è orientata a fornire soluzioni su misura, capaci di integrare le esigenze operative dell’impresa con i profili di compliance e di tutela giuridica, contribuendo alla costruzione di un sistema di governance dei sistemi informatici solido, consapevole e adeguato alle sfide della trasformazione digitale.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.
MODELLO DI REGOLAMENTO INTERNO SULL’UTILIZZO DEI SISTEMI INFORMATICI AZIENDALI
(bozza esemplificativa e assolutamente non esaustiva)
Art. 1 – Premessa e finalità del regolamento
Il presente Regolamento disciplina le modalità di utilizzo dei sistemi informatici aziendali messi a disposizione dall’Impresa per lo svolgimento delle attività lavorative e professionali.
L’adozione del presente Regolamento risponde all’esigenza di garantire un utilizzo corretto, consapevole e sicuro dei sistemi informatici, nonché di prevenire rischi di natura organizzativa, patrimoniale, reputazionale e giuridica connessi all’impiego delle tecnologie digitali.
Il Regolamento costituisce parte integrante delle misure organizzative adottate dall’Impresa per la tutela dei propri asset informativi e per la promozione di una cultura della sicurezza dei sistemi informatici, nel rispetto dei principi di diligenza, correttezza e buona fede nell’esecuzione della prestazione lavorativa.
Art. 2 – Ambito di applicazione soggettivo
Le disposizioni del presente Regolamento si applicano a tutti i soggetti che, a qualunque titolo, accedono o utilizzano i sistemi informatici aziendali, ivi inclusi, a titolo esemplificativo, i dipendenti, i collaboratori, i consulenti, i fornitori e ogni altro soggetto autorizzato dall’Impresa.
L’obbligo di osservanza del Regolamento sussiste indipendentemente dalla natura del rapporto giuridico intercorrente con l’Impresa e si estende a tutte le attività svolte mediante i sistemi informatici aziendali, anche qualora tali attività siano eseguite al di fuori delle sedi aziendali o presso clienti e terze parti.
Art. 3 – Ambito di applicazione oggettivo e definizione dei sistemi informatici
Ai fini del presente Regolamento, per sistemi informatici si intendono tutte le infrastrutture hardware e software, le reti di comunicazione, le postazioni di lavoro, i dispositivi mobili, le applicazioni e le risorse digitali messe a disposizione dall’Impresa, indipendentemente dalla loro ubicazione fisica o modalità di accesso.
Rientrano nell’ambito di applicazione del Regolamento anche i sistemi informatici accessibili da remoto, nonché quelli utilizzati nell’ambito di attività svolte fuori sede o in modalità di lavoro agile, laddove l’accesso avvenga mediante credenziali o strumenti forniti dall’Impresa.
Art. 4 – Principi generali di utilizzo dei sistemi informatici
I sistemi informatici aziendali sono destinati esclusivamente allo svolgimento delle attività lavorative e professionali connesse all’organizzazione e agli interessi dell’Impresa.
Ogni utilizzo dei sistemi informatici deve avvenire nel rispetto delle finalità aziendali, delle disposizioni del presente Regolamento e delle istruzioni impartite dall’Impresa.
I soggetti destinatari del Regolamento sono tenuti a utilizzare i sistemi informatici con la massima diligenza, evitando comportamenti idonei a compromettere la sicurezza, l’integrità, la disponibilità o la riservatezza delle informazioni e dei dati trattati.
Art. 5 – Autorizzazioni e credenziali di accesso
L’accesso ai sistemi informatici aziendali è consentito esclusivamente ai soggetti espressamente autorizzati dall’Impresa e nei limiti delle mansioni o delle attività loro affidate.
Le credenziali di accesso sono personali e non cedibili e devono essere utilizzate esclusivamente dal soggetto a cui sono state assegnate.
È fatto divieto di condividere le proprie credenziali di autenticazione con terzi, anche in buona fede, nonché di utilizzare credenziali assegnate ad altri soggetti.
I destinatari del Regolamento sono tenuti a custodire con cura le proprie credenziali e a segnalarne tempestivamente l’eventuale compromissione.
Art. 6 – Regole di condotta e utilizzi vietati
È vietato qualsiasi utilizzo dei sistemi informatici aziendali che sia contrario alla legge, alle disposizioni del presente Regolamento o agli interessi dell’Impresa.
In particolare, è vietato porre in essere comportamenti idonei a danneggiare i sistemi informatici, a consentire accessi non autorizzati, a compromettere la sicurezza delle reti o a utilizzare software non autorizzato.
È altresì vietato alterare, cancellare o modificare dati, programmi o configurazioni di sistema senza specifica autorizzazione, nonché utilizzare i sistemi informatici per finalità estranee all’attività lavorativa in modo non conforme alle istruzioni aziendali.
Art. 7 – Conservazione dei documenti e gestione delle informazioni
I documenti e le informazioni aziendali devono essere archiviati esclusivamente negli spazi e nei sistemi informatici individuati dall’Impresa.
Non è consentita la conservazione stabile di documenti aziendali su dispositivi personali o su sistemi di archiviazione non autorizzati, salvo diversa indicazione espressa.
I destinatari del Regolamento sono tenuti a trattare le informazioni aziendali con la massima riservatezza, adottando comportamenti coerenti con la natura e la sensibilità delle informazioni trattate.
Art. 8 – Accesso da remoto e attività fuori sede
L’accesso ai sistemi informatici aziendali da remoto o lo svolgimento di attività presso sedi esterne deve avvenire nel rispetto delle regole stabilite dall’Impresa e con modalità idonee a garantire un livello adeguato di sicurezza.
Il soggetto autorizzato è tenuto ad adottare tutte le cautele necessarie per evitare accessi non autorizzati, dispersioni di informazioni o utilizzi impropri dei sistemi informatici, anche in relazione all’ambiente esterno in cui la prestazione viene svolta.
Art. 9 – Tracciabilità e controlli
L’Impresa si riserva la facoltà di adottare strumenti di tracciabilità delle attività svolte sui sistemi informatici, nei limiti e per le finalità consentite dalla normativa vigente.
Le informazioni raccolte mediante tali strumenti sono utilizzate esclusivamente per esigenze di sicurezza, organizzazione e tutela del patrimonio aziendale.
I destinatari del Regolamento sono informati dell’esistenza di tali strumenti e delle modalità generali di trattamento dei dati derivanti dall’utilizzo dei sistemi informatici aziendali.
Art. 10 – Violazioni e conseguenze
L’inosservanza delle disposizioni contenute nel presente Regolamento può comportare l’adozione di provvedimenti proporzionati alla gravità della violazione, nel rispetto della normativa applicabile e degli accordi contrattuali in essere.
Resta ferma la possibilità per l’Impresa di tutelare i propri diritti e interessi nelle sedi competenti, qualora dalla violazione del Regolamento derivino danni o responsabilità di natura civile, penale o amministrativa.
Art. 11 – Entrata in vigore e diffusione
Il presente Regolamento entra in vigore dalla data della sua approvazione ed è portato a conoscenza dei destinatari mediante idonee modalità di comunicazione.
La presa visione e l’accettazione del Regolamento costituiscono presupposto per l’accesso e l’utilizzo dei sistemi informatici aziendali.