Normative e Domande sull'Analisi dei Rischi Informatici

Aspetti legali sull'analisi dei rischi informatici

Home » Aspetti Legali » Normative
1. Come si struttura il servizio di Analisi dei Rischi ?

Il servizio di Analisi dei Rischi Informatici si struttura in base alle dimensioni aziendali. Per piccole realtà, fino a 10 dipendenti, è possibile richiedere un'analisi da remoto. Per realtà più grandi è necessaria una visita in loco. A titolo di esempio, per un'azienda di 200 persone occorre prevedere due giornate di analisi, raccogliendo i dati da un campione rappresentativo di ogni reparto, per un totale di 50 postazioni.

2. Come si procede fattivamente per eseguire l'Analisi dei Rischi Informatici in Azienda ? Vengono rispettate le Normative Vigenti in materia di Privacy e Tutela del Lavoratore ?
  • L'utilizzo degli strumenti di controllo selezionati viene effettuato nel rispetto dei principi di tutela della persona, delle norme poste a tutela della libertà e dignità dei lavoratore, contenute nella L. n. 300/1970 (Statuto dei lavoratori), ed alla successiva normativa in tema di Protezione dei dati personali (D.Lgs. 196/2003) (2bis) nel pieno rispetto del principio della indispensabilità art. 26, 4°comma lett. C del codice della Privacy. In merito all’ex articolo 4 dello statuto dei lavori, che ora si può leggere come n. 4/2011, si conferma che non verrà perseguito alcun illecito relativo ai controlli a distanza essendo l'analisi effettuata personalmente per ogni postazione e solo sul posto in presenza del lavoratore. Inoltre rientra tra i poteri dell'imprenditore adottare tutte le misure cautelative per garantire le esigenze di produttività in osservanza degli artt. 2086 e 2104, i quali attribuiscono rispettivamente all’imprenditore, la direzione e gerarchia dell’impresa e il potere di verifica sull’obbligo di diligenza in base alla natura della prestazione eseguita dal prestatore di lavoro; dell'articolo 2105, sempre ddel codice civile ove si legge che il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l'imprenditore, né divulgare notizie attinenti all'organizzazione e ai metodi di produzione dell'impresa, o farne uso in modo da poter recare ad essa pregiudizio; degli artt. 2104 e 1176 c.c. che impongono al lavoratore di eseguire la prestazione – anche in assenza di direttive del datore di lavoro – secondo la particolare qualità dell’attività dovuta, risultante della mansioni e dai profili professionali che la definiscono, e di osservare, altresì, tutti quei comportamenti accessori e quelle cautele che si rendano necessarie ad assicurare una gestione professionalmente corretta.
  • Verrà data disposizione all'azienda di informare i rappresentanti sindacali o i lavoratori, circa la natura dell'analisi che verrà compiuta, prima del nostro arrivo.  
  • Prima di ogni analisi, un vostro responsabile IT, che ci accompagnerà tutto il tempo, rispiegherà anche verbalmente in maniera coincisa ad ognuna delle persone incontrate, le finalità del controllo informatico, in osservanza dell’art. 29 della direttiva 95/46/CE del parlamento europeo sulla protezione dei dati personali, rassicurando ogni dipendente sul fatto che non verranno in alcun modo raccolti o visionati file personali. A maggiore garanzia di quanto dichiarato verrà fatto firmare, ad ogni utente, un modulo da noi preparato nel quale sarà indicato lo scopo dell'analisi e l’orario di termine di ogni analisi. Si precisa inoltre che verrà data la possibilità ad ogni utente di avere una copia del modulo con la sua firma autografa.
  • L'azienda facendo effettuare tale analisi opera in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90).
  • Il datore di lavoro ha il diritto di controllare (direttamente o attraverso la propria struttura informatica) l’effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro (cfr. provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007 e artt. 2086, 2087 e 2104 cod. civ. ).
  • Questa analisi permette di verificare l'esistenza in azienda di un buon piano di disaster recovey. In caso di rottura di un computer, la macchina sostitutiva con i dati di backup dovranno essere ripristinati in tempi brevi, in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati secondo l'art.31 d.lgs.196/2003.
  • L'Azienda con questa analisi potrà verificare l’eventuale abuso da parte dei dipendenti degli strumenti informatici a loro affidati per lo svolgimento delle loro mansioni, nell’opera di non esporsi al rischio di un coinvolgimento civile e penale in caso di illeciti nei confronti di terzi. L'utilizzo improprio degli strumenti telematici espone ciascuna azienda al pericolo di accessi abusivi da parte di hacker ( Art. 615 bis c.p.), di diffusione di Virus ( Art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e di trasmissione di notizie riservate. Il controllo del datore di lavoro, effettuato tramite l’analisi dei rischi informatici tende, quindi, ad evitare tale coinvolgimento.
  • L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore, sarà possibile evidenziare criticità singole ( macchine con memoria insufficiente e spazio quasi esaurito) per le quali si auspica un intervento a breve termine ; per il secondo fattore sarà possibile escludere anomalie nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali. Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono di prestare molta attenzione da parte del datore di lavoro a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione, che possono causare dei problemi alla salute dei lavoratori, problemi per i quali potrebbe essere ritenuto responsabile e punibile ai termini di legge.
  • 3. Quanto costa effettuare un'Analisi dei Rischi Informatici ?

    Il costo dell'Analisi è correlato al numero di postazioni da analizzare.

    Richiedeteci subito un preventivo gratuito [ click qui ]

    4. I programmi Utilizzati per l'Analisi dei Rischi Informatici costituiscono un Pericolo per la Rete Aziendale ?

    Assolutamente NO. I programmi utilizzati per l’Analisi dei Rischi non costituiscono alcun pericolo per la rete informatica aziendale e vengono attentamente scansionati alla ricerca di virus prima del loro utilizzo, sia dalla nostra società, prima del nostro arrivo, sia dall'IT della vostra azienda il giorno stesso. Programmi che verranno eseguiti direttamente da una cartella protetta del vostro server aziendale ( se disponibile) oppure da una chiavetta usb. Si precisa inoltre che i programmi utilizzati per l'analisi non richiedono alcuna installazione sulle macchine dei dipendenti. Tali programmi, il cui elenco vi sarà fornito, verranno comunque presentati de visu al vostro responsabile IT.

    5. Il Datore di lavoro ha il diritto di controllare direttamente o attraverso la propria struttura informatica l'effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro ?

    Assolutamente Si. Il datore di lavoro ha il diritto di controllare (direttamente o attraverso la propria struttura informatica) l’effettivo adempimento della prestazione lavorativa ed il corretto utilizzo degli strumenti di lavoro (cfr. provv. del Garante del 1° marzo 2007 "Lavoro: le linee guida del Garante per posta elettronica e internet" pubblicate in G. U. n. 58 del 10 marzo 2007 e artt. 2086, 2087 e 2104 cod. civ. ).

    6. E' vero che l'azienda facendo effettuare l'analisi dei Rischi Informatici opera in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro ?

    Assolutamente Si. L'azienda facendo effettuare tale analisi opera in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro�?. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90).

    7. E' vero che il datore di lavoro è obbligato ad adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati, eseguendo costanti backup delle macchine aziendali ?

    Assolutamente Si. In caso di rottura di un computer, la macchina sostitutiva con i dati di backup dovranno essere ripristinati in tempi brevi, in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati secondo l'art.31 d.lgs.196/2003.

    8. E' vero che esiste una responsabilità patrimoniale anche di rilevante entità( fino a 700.000 euro ) per le imprese nel caso non adottino misure preventive nei confronti dei propri dipendenti che potrebbero compiere crimini informatici o se il soggetto in posizione apicale o un dipendente trattano dati senza il consenso ? ( Legge 14 agosto del 2013, n. 93 e Legge 18 marzo 2008 sui crimini informatici )

    Lo confermiamo.

    A seguito dell'entrata in vigore del decreto Legge 14/08/2013 n. 93, le imprese rischiano sanzioni pecuniarie da 25.800 a 774.500 euro se il soggetto in posizione apicale o un dipendente di una società trattano dati senza il consenso (ricorrendo gli altri elementi previsti dall'articolo 167 del codice della privacy). A pagare sarà quindi anche la società oltre alla persona fisica.

    Lo stesso vale per l'ipotesi in cui si siano inviate al garante notificazioni inveritiere o informazioni false, così come nel caso si sia omesso di osservare provvedimenti del garante: a pagare è sia la persona fisica autore dell'illecito sia l'ente cui la stessa appartiene.

    Con l'articolo 9 del DL 93/2013 viene prevista inoltre un nuova aggravante del delitto di frode informatica (640–ter del codice penale) nel caso venga commesso con sostituzione dell'identità digitale in danno di uno o più soggetti, con pene che vanno da due a sei anni di reclusione e sanzioni da 600 a 3.000 euro. La ratio della norma, per la Corte suprema, è l'ampliamento della tutela dell'identità digitale per aumentare la fiducia dei cittadini nell'utilizzazione dei servizi online e porre un argine al fenomeno delle frodi realizzate mediante il furto di identità. La medesima norma prevede, come abbiamo già citato, che sia i reati di frode informatica che quelli in materia di violazione della privacy previsti dal decreto legislativo 196/2003 (trattamento illecito dei dati, falsità nelle dichiarazioni al Garante e inosservanza dei provvedimenti del Garante) siano ricompresi tra quelli sanzionati non solo a livello personale ma anche a livello aziendale come previsto nel decreto legislativo 231/2001 sulla responsabilità degli enti .

    Le imprese devono rinnovare i modelli organizzativi, redigere protocolli interni atti a prevenire illeciti da parte dei propri dipendenti in questi ambiti ( vedisi il Documento Policy sulla Sicurezza Informatica ) e garantire le procedure di vigilanze idonee a prevenire la commissione dei reati all'interno dell'organizzazione. In mancanza di tali misure si riterrà che le violazioni sono riconducibili a una politica d'impresa e quindi anche l'ente sarà soggetto a sanzioni.

    La "Legge 18 marzo 2008, n. 4813 "Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno" ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. 10) sia il "Codice in materia di protezione dei dati personali" sia (art. 7) il decreto legislativo 8 giugno 2001, n. 231. Le disposizioni previste dalla Convenzione fanno specifico riferimento alla frode informatica, accesso abusivo al sistema informatico, pedopornografia, illecite intercettazioni di dati telematici ed in generale nei confronti di tutti i temi più discussi in ambito cyber criminalità. Una conseguenza che riveste particolare importanza è sicuramente l'estensione della responsabilità amministrativa della persone giuridiche ai reati informatici, pertanto aumenta la responsabilità delle imprese nel caso non adottino misure preventive idonee ad evitare che gli addetti interni della società commettano reati informatici: per l'azienda si determina così una responsabilità patrimoniale anche di rilevante entità.

    9. E' vero che senza aver redatto e comunicato ai dipendenti il documento della POLICY SULLA SICUREZZA INFORMATICA anche usare una password altrui in azienda può non essere una violazione della privacy ?

    Lo confermiamo. Lo ha stabilito la Corte di Cassazione nella sentenza n. 4258 del 16 marzo 2012, in cui la stessa dichiara illegittimo il licenziamento di una dirigente accusata di aver utilizzato la password altrui per accedere al sistema aziendale. La Suprema Corte, infatti, ha accolto le giustificazioni addotte dalla lavoratrice secondo cui la ripetuta utilizzazione di una password altrui era giustificata da esigenze connesse con lo svolgimento del proprio lavoro e di quello degli altri suoi colleghi ed era divenuto un comportamento compiuto da molti come "prassi aziendale". I Giudici hanno considerato decisivo per il rigetto del ricorso presentato dalla società ricorrente il fatto che tale comportamento attuato dalla dipendente fosse effettivamente conforme a una prassi aziendale e non fosse vietato da alcun codice di comportamento o Policy sulla Sicurezza Informatica che dovrebbe invece essere fornita ai dipendenti al momento della loro assunzione ed aggiornata e comunicata ogni anno tramite email o piano di formazione.

    Ricordiamo che il corretto utilizzo e gestione delle password aziendali rientra tra le misure minime di sicurezza previste dall’art. 34 e dall’allegato B del Codice Privacy. La policy sulla Sicurezza Informatica prevede che il lavoratore debba delegare un collega per la verifica dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata o attivi il reindirizzamento della posta. Per necessità legate alla attività lavorativa l’Azienda ha infatti il diritto di conoscere il contenuto dei messaggi di posta elettronica. La nomina del collega, deve essere ufficializzata tramite un modulo o un messaggio email al responsabile del trattamento dei dati. Il collega incaricato, se è stata scelta questa modalità, dovrà redigere un apposito verbale ed informare delle attività compiute il lavoratore assente al suo rientro.

    La Policy sulla Sicurezza Informatica è quel documento nel quale sono contenute tutte le disposizioni, comportamenti e misure organizzative richieste ai dipendenti e/o collaboratori aziendali per contrastare i rischi informatici.

    Una buona Policy sulla Sicurezza Informatica regola :

    A) L’UTILIZZO DEL PERSONAL COMPUTER
    B) L’UTILIZZO DELLA RETE
    C) LA GESTIONE DELLE PASSWORD
    D) L’UTILIZZO PC PORTATILI, TELEFONI FISSI, CELLULARI, FAX E FOTOCOPIATRICI
    E) L’UTILIZZO DELLA POSTA ELETTRONICA
    F) L’USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
    G) I COMPORTAMENTI DEGLI UTENTI NELLA PROTEZIONE ANTIVIRUS E MALWARE

    Per comprendere l'importanza di avere una Policy sulla Sicurezza Informatica in Azienda è sufficiente considerare questi dati :

    • Diverse ricerche effettuate a livello internazionale hanno rivelato che, in mancanza di regole e/o strumenti tecnologici di filtraggio, una percentuale tra il  30% e il 40% del tempo impiegato on line dal dipendente viene utilizzato per fini diversi da quelli aziendali.
    • Una recente indagine evidenzia che il 25,1% dei lavoratori dipendenti dichiara di navigare per fini personali dal posto di lavoro da 10 a 30 minuti al giorno, il 22,4% da 30 minuti ad 1 ora, l'11,9% da 1 ora a 2 e ben il 12,6% oltre 2 ore. Solo il 27% dichiara di navigare meno di 10 minuti al giorno.
    • Un'indagine interna dell'Internal Revenue Service, l'ente che negli Stati Uniti si occupa delle entrate fiscali, ha rivelato che la navigazione o l'utilizzo di e-mail da parte dei lavoratori per scopi personali rappresentava il 51% del totale del tempo dedicato ad attività on line.
    • Più del 70% di tutto il traffico generato dai siti VIETATI AI MINORI viene generato durante l'orario d'ufficio.
    • Il 32,6% dei lavoratori che accedono ad Internet durante l'orario di lavoro dichiarano di farlo senza nessuna specifica finalità.

    In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ? Contattateci e potremo redigerla per voi !

    10. Facendo effettuare questa analisi si potrà verificare l’eventuale abuso da parte dei dipendenti degli strumenti informatici a loro affidati per lo svolgimento delle loro mansioni ?

    Confermiamo. L'Azienda con questa analisi potrà verificare l’eventuale abuso da parte dei dipendenti degli strumenti informatici a loro affidati per lo svolgimento delle loro mansioni, nell’opera di non esporsi al rischio di un coinvolgimento civile e penale in caso di illeciti nei confronti di terzi. L'utilizzo improprio degli strumenti telematici espone ciascuna azienda al pericolo di accessi abusivi da parte di hacker ( Art. 615 bis c.p.), di diffusione di Virus ( Art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e di trasmissione di notizie riservate. Il controllo del datore di lavoro, effettuato tramite l’analisi dei rischi informatici tende, quindi, ad evitare tale coinvolgimento.

    11. E' vero che far firmare ai dipendenti una Policy sulla Riservatezza dei Dati offre una tutela maggiore anche nel caso di dimissioni o licenziamento di un dipendente ?

    Esatto. Le nuove tecnologie permettono una distribuzione delle informazioni molto più veloce rispetto al passato. Documenti confidenziali possono essere trasferiti dalla vostra azienda ad un account personale online del dipendente o in un suo dispositivo esterno, con un semplice click, a vostra totale insaputa. Solo un documento di impegno alla riservatezza vi permette di essere tutelati e vi assicura ad esempio che in caso di dimissioni o licenziamento tali informazioni saranno restituite o distrutte entro 24 ore dalla vostra richiesta.

    Il documento di riservatezza che vi possiamo redigere è composto da 8 pagine e rispetta tutte le normative di legge : Regolamento Ce 31 gennaio 1996, n. 96/240 ; Convenzione dell’Unione di Parigi sulla protezione della proprietà intellettuale resa esecutiva in Italia con il D.L. 10 gennaio 1926, n. 129 convertito con modifiche in legge 29 dicembre 1927, n. 2701 ; R.D. 29 giugno 1939 n. 1127 Legge invenzioni ; D.Lgs. 10 febbraio 2005, n. 30 Codice della proprietà industriale, a norma dell’art. 15 della legge 12 dicembre 2002, n. 273 Art. 98 Informazioni segrete-oggetto della tutela e Art. 99 Informazioni segrete-tutela ; Codice Civile : Art. 2105 obbligo di fedeltà e Art. 2598, n.3 atti di concorrenza sleale ; Codice Penale : Art. 622 Rivelazione di segreto professionale e Art. 623 Rivelazione di segreti scientifici o industriali

    In Azienda avete già redatto una POLICY SULLA RISERVATEZZA che osservi tutte le nuove normative ? Contattateci e potremo redigerla per voi !

    12. L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori ?

    Certamente. L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore, sarà possibile evidenziare criticità singole ( macchine con memoria insufficiente e spazio quasi esaurito) per le quali si auspica un intervento a breve termine ; per il secondo fattore sarà possibile escludere anomalie nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali. Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono da parte del datore di lavoro di prestare molta attenzione a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione, che possono causare dei problemi alla salute dei lavoratori, problemi per i quali potrebbe essere ritenuto responsabile e punibile ai termini di legge.

    13. Tra i vostri servizi esiste anche l'elaborazione della Policy di sicurezza informatica che deve essere redatta in accordo con le rappresentanze sindacali?

    La nostra società è in grado di tutelare la vostra azienda nell'elaborazione della Policy di sicurezza informatica con le rappresentanze sindacali, allo scopo di prevenire eventuali violazioni dello Statuto dei lavoratori o della Disciplina in materia di Privacy, in osservanza delle Linee guida della delibera n. 13/2007 del Garante. Il tutto in un ottica il più possibile orientata verso una concezione della sicurezza come opportunità, oltre che come obbligo legale.

    14. Operate in Tutta Italia ?

    Assolutamente Si ! I nostri tecnici saranno lieti di raggiungere la vostra azienda in ogni parte d'Italia. Se possibile possiamo effettuare il lavoro anche da remoto in totale sicurezza.

    15. Consegnate un Report dopo l'Analisi ?

    Certamente. Vi verrà fornito un report molto dettagliato per ogni postazione analizzata e vi forniremo anche i dati statistici di tutto il campione analizzato con tutte le soluzioni da adottare per mettere in sicurezza la vostra azienda.

    16. Dopo aver evidenziato i problemi, ed elencato le possibili soluzioni per il ripristino della sicurezza informatica aziendale vi occupate anche della loro realizzazione ?

    Si, con molto piacere. I nostri tecnici saranno lieti di attuare tutte le soluzioni necessarie per il ripristino della sicurezza aziendale, offrendovi consulenze a 360 gradi e accompagnandovi con competenza fino alla risoluzione di tutti i problemi evidenziati durante l'analisi dei rischi informatici !

    17. Siete in grado di offrire anche assistenza legale qualora si evidenziassero abusi da parte dei dipendenti degli strumenti informatici ?

    Certamente. In collaborazione con uno studio legale di nostra fiducia possiamo assistere la vostra azienda in un processo giuridico, effettuando, se richiesto dal caso, anche un servizio professionale di analisi forense.

    Perchè attendere ? Richiedi subito un Preventivo GRATUITO :