Fino al 31 Dicembre 2021 è possibile richiedere l’applicazione del credito d’imposta al 50% a fondo perduto per acquisit impianti e macchinari
Perchè richiederlo ora?
Se hai effettuato un acquisto o intendi acquistare impianti e macchinari necessari alla digitalizzazione dei tuoi processi aziendali e produttivi, con il , Nuovo Piano Nazionale Transizione 4.0 sonoè possibile usufruire dell’aliquota del 50% per l’applicazione del credito d’imposta fino al 2021.
Per il 2022 l’aliquota scenderà al 40%.
Per poter presentare la richiesta, gli impianti e i macchinari oggetto dell’investimento devono rispettare specifici requisiti tecnologici per cui occorre produrre una perizia asseverata da parte di un tecnico.
Esseti può aiutarti a seguire il procedimento e la presentazione della richiesta in collaborazione con il tuo commercialista, per quanto riguarda:
√ la valutazione dell’investimento
√ la gestione e verifica dei fornitori hardware e software
√ la gestione dell’ interconnessione
E’ importante poter utilizzare subito questa opportunità, poichè nel 2022 l’agevolazione scenderà al 40%.
Questo vorrebbe dire ad esempio, che per un macchinario del valore di 500.000 Euro si perdono 50.000 Euro di contributi.
L’opportunità più interessante però riguarda le PMI.
In questo caso le piccole imrpese possono cumulare gli effetti della Sabatini, aggiungendo un ulteriore 10% a fondo perduto di credito d’imposta e arrivare quindi ad un totale del 60%.
Altre opportunità inserite nel Piano Transizione 4.0 sono i Crediti per ricerca e sviluppo e Credito Formazione 4.0.
Con il portale MyGDPR di Esseti, da oggi puoi gestire comodamente gli adempimenti Privacy con un click.
Cosa puoi fare con il Portale MyGDPR?
Definire il tuo Archivio documentale sempre aggiornato, con la possibilità di creare e personalizzare la documentazione richiesta dalla normativa.
Generare il registro dei trattamenti in base alla tua mappatura dei dati ed estrarre informative aggiornate
Realizzare direttamente la Valutazione dei Rischi e analizzare il livello di sicurezza adeguato alla tua struttura
Utilizzare di modelli di DPIA precaricati, personalizzabili per gestire il procedimento di validazione dei tuoi dati aziendali.
Gli adempimenti per la gestione della Privacy aziendale richiedono spesso un controllo e un aggiornamento costante, soprattutto in contesti dove la natura dei dati trattati per lo svolgimento delle normali attività aziendali, ha un impatto significativo.
Oltre quindi ad una corretta gestione delle policy aziendali, definte in coerenza con la complessità e le caratteristiche dei vari contesti, è importante predisporsi di strumenti che massimizzano l’efficacia dei processi di gestione e soprattutto ne facilitino il controllo.
Con l’accesso al Portale GDPR MyGDPR potrai gestire la tua policy privacy aziendale in tutta sicurezza, organizzando in maniera semplice e veloce tutti i processi di gestione e controllo della documentazione e l’analisi di rischio.
Inoltre, puoi integrare i servizi del portale con piani personalizzati che includono servizi aggiuntivi in tema di privacy.
Quanto conviene concentrare le strategie di posizionamento e indicizzazione verso motori di ricerca alternativi a Google?
Fuga da WhatsApp, critiche alle violazioni privacy del mondo Google, tecnologia pervasiva, profilazioni e Social.
Non lo avremmo mai pensato quando nel 2018 il GDPR imponeva ufficialmente di dare maggiore attenzione alla questione della privacy, per ovvi motivi sanzionatori, ma forse oggi sta diventando una nuova opportunità di mercato.
Sembra che il mercato stia allestendo un nuovo scenario o semplicemente stiamo assistendo al cambiando delle regole del gioco.
Se fino ad ora l’attenzione degli strumenti di indicizzazione e posizionamento verso le alternative Google &Co. poteva essere una strategia efficace per esigenze di nicchia, ora il vento sta cambiando e potrebbe diventare invece una strategia vincente per tutti, per posizionarsi in un mercato, per così dire, privacy care.
Ridurre la concorrenza sfruttando la sensibilità verso la protezione dei dati può diventare una combinazione davvero eccezionale per rivedere le strategie di comunicazione e marketing.
Fin’ora si è discusso molto del conflitto tra privacy e marketing. Ma forse ora la svolta vincente è utilizzare la privacy per fare marketing
La nuova “filosofia digitale”
Almeno in Europa, il GDPR sta quindi diventando il parametro di riferimento per molti motori di ricerca privacy friendly, alternativi a Google. Assisteremo dunque ad una migrazione sempre più ampia di utenti verso queste alternative così da ridimensionare il predominio di Google?
Sicuramente non assisteremo, almeno nel breve periodo, allo stravolgimento degli equilibri di mercato, visto che comunque molti di questi motori alternativi attingono ai risultati dei “grandi”, Certamente però cambierà qualcosa nei meccanismi di acquisizione, gestione e soprattutto “vendita” dei dati che comunque continueranno ad essere presenti nel web.
La questione della privacy on line è ovviamente una questione che impegnerà i grandi del web a rivedere le proprie politiche a fronte di un costante braccio di ferro con gli enti di controllo, ma anche e soprattutto per (ri)stabilire una fiducia ormai minata nei confronti degli utenti,
Con il nuovo Decreto Crescita sono stati stanziati 100 milioni di euro per agevolare le PMI negli investimenti destinati alla trasformazione tecnologica e digitale dei processi produttivi, con particolare riferimento a quelle appartenenti ai settori più colpiti dalla crisi economica innescata dalla Pandemia COVID-19.
Il decreto che definisce i termini e le modalità di presentazione delle domande di agevolazione per il bando “Digital Transformation” delle PMI è publicato sul sito del Ministero dello Sviluppo Economico.
I Progetti possono essere presentati anche da gruppi di imprese, massimo 10, o singolarmente e riguardano in via prevalente il settore manifatturiero e/o in quello dei servizi diretti alle imprese manifatturiere, nonché, al fine di accrescerne la competitività e in via sperimentale per gli anni 2019-2020, alle imprese del settore turistico impegnate nella digitalizzazione dei servizi. Sulla base dei settori ammessi, nell’allegato n. 1 del provvedimento attuativo dell’intervento sono identificate le attività economiche ammissibili.
Le agevolazioni sono concesse sulla base di una percentuale nominale dei costi e delle spese ammissibili pari al 50 percento, articolata come segue:
10 percento sotto forma di contributo;
40 percento come finanziamento agevolato.
Per le Imprese quindi nuove opportunità, ma anche nuovi impegni per gestire la presentazione dei progetti.
Un processo che deve essere curato con attenzione per non vanificare le risorse e i tempi impiegati per gestire l’aspetto burocratico della presentazione.
In questi mesi infatti, nonostante le diverse opportunità promosse per sostenere le imprese sul fronte dell’adeguamento tecnologico, altrettante sono state le difficoltà incontrate per gestire le fasi burocratiche per ottenere l’accesso alle diverse fonti di agevolazione o contributo.
Occorre quindi una preparazione preventiva, finalizzata a programmare le fasi utili a gestire correttamente i passaggi per la produzione documentale delle proposte e richieste. Queste attività spesso risultano impegnative per le imprese che attualmente devono gestire già una più complessa organizzazione aziendale.
I progetti di adeguamento tecnologico, le nuove implementazioni e lo sviluppo di progetti destinati a migliorare la digitalizzazione delle imprese sono spesso già operativi o in fase di avvio e richiedono il coinvolgimento di un team di risorse e competenze in grado di coordinarsi efficacemente con il managment aziendale.
L’opportunità di attingere a risorse finanziarie aggiuntive è pertanto un’occasione essenziale per le imprese, ma l’importante è che questi strumenti non compromettano la realizzazione temporale dell’investimento.
Oltre il Progetto, quali punti chiave?
I Check Point
Modalità di presentazione delle domande
Predisposizione della documentazione e accesso ai sistemi informativi predisposti per formulare la richiesta
Valutazione, Punteggi e Premialità
Valutazione della qualità progettuale, coerenza degli investimenti con i piani strategici e di sviluppo dell'impresa
Gestione della rendicontazione e implicazioni amministrative e di controllo gestione.
Contatta il nostro team PER REALIZZARE IL TUO PROGETTO
GET BETTER RESULTS BY sharing competence
Attraverso il nostro Team di professionisti, le imprese con le quali collaboriamo nella realizzazione dei Progetti di investimento tecnologico, possono trovare un efficace supporto per gestire al meglio tutti i passaggi per accedere a queste opportunità.
Così inizia una celebre frase del Biologo E.O Wilson, che qualche giorno fa è stata commentata in un post Instagram dei Tlonisti, brillantemente e acutamente “corretta”.
La scuola permanente di filosofia e immaginazione di Maura Gancitano e Andrea Colamedici ha affrontato il tema dell’utilizzo delle tecnologie nella società attuale e in particolare ha proposto una discussione sull’utilizzo dell’App Immuni , coinvolgendo il giornalista, imprenditore, docente e consulente della comunicazione del Bambin Gesù, Nicola Zamperini.
L’affermazione di Wilson continua così:
…è che abbiamo emozioni paleolitiche, istituzioni medioevali e tecnologie futuristiche”
E.O Wilson
La “correzione” proposta da Tlonnel post, ribalta la costruzione e il significato della frase cogliendo, a pieno il contesto attuale.
Il vero problema dell’umanità è che abbiamo tecnologie futuristiche che approfittano di istituzioni medioevali per abusare delle nostre emozioni paleolitiche.
Nella lotta tra le “tecnologie futuristiche” e le “istituzioni medioevali” le vittime sono le “nostre emozioni paleolitiche”. Ci permettiamo così di dare il mio ulteriore contributo.
Nicola Zamperini, Autore di Manuale di disobbedienza digitale (Castelvecchi), ha commentato e risposto alle sollecitazioni e agli interrogativi proposti nel dialogo condotto da Andrea Colamedici, offrendo spunti di riflessione molto significativi e lucidamente onesti sul tema dell’influenza delle tecnologie, soprattutto in questa fase di “rivoluzione” dei rapporti comunicativi e sociali.
“Ogni problema oggi è un problema tecnologico”. Così si è aperto il dialogo.
Il Topic della cosiddetta fase 2 ruota tutto attorno all’utilizzo delle App di contact tracing, come Immuni, per affrontare la gestione della convivenza con il virus e riuscire controllare o arginare i rischi. La gente comune, i politichi, gli studiosi, i sociologi tutti quanti, stanno disquisendo sull’utilizzo di un App che “potrebbe” invadere la libertà personale.
Proprio in rete, si moltiplicano articoli ed interventi di autorevoli fonti di settore, che mettono in evidenza le conseguenze, positive e potenzialmente negative, dell’utilizzo di queste tecnologie, puntando l’attenzione sulla gestione dei dati personali o su aspetti legati alla sicurezza del framework che le caratterizzano.
La gestione dei dati personali però è sicuramente l’aspetto che più suscita preoccupazione e scandalo nell’opinione comune, mentre gli addetti ai lavori analizzano anche l’aspetto della cybersecurity legato alla maggiore diffusione di possibili accessi di attacco. Aspetto quest’ultimo non meno inquietante.
Dobbiamo però onestamente chiederci di quale invasione ai dati personali dovremmo correttamente preoccuparci. Non ha senso illuderci sul fatto che questo terreno sia stato fin’ora inesplorato. Quale differenza potrebbe esserci nell’utilizzo di queste tipologie di App rispetto a tutto quello oggi stiamo già utilizzando?
Chiunque ormai si renderà conto che non c’è nessuna differenza (se non quella di essere utilizzata ad uno scopo legato alla salute e quindi percepita più invasiva), ma forse il fatto che una voce più o meno ufficiale ci “suggerisca” di utilizzarla, ci costringe ad un allarme un po’ ingenuo.
Come afferma Zamperini nel corso del dialogo, possiamo rinunciare alla tecnologia se la consideriamo minacciosa, invasiva e lesiva delle nostre libertà personali. Nessuno ce lo impedisce. Bisogna senza dubbio esssere creativi e soprattutto capaci di sapere come farlo. Dobbiamo però soprattutto essere coscienti di cosa significa e accettare di rinunciare anche ad altre abitudini che oggi, sono irrinunciabili per tutti o almeno per molti. Abitudini personali, ma anche abitudini legate a tutti gli aspetti sociali ed economici della nostra società e molto probabilmente anche ai nostri stessi diritti civili.
E se per ipotesi la diffusione del Corona virus avesse colpito le tecnologie e non l’uomo e per provare ad arginare il disastro avessimo dovuto rinunciare ad internert, ai social, alle telecomunicazioni?
Non serve pensare all’apnea dei nativi digitali o della generazione Z per rendersi conto dell’effetto che si verrebbe a creare, ma basta ammettere umilmente che la vita di tutti noi abitanti del 21° secolo è strettamente legata alla tecnologia e a quello che ne consegue.
Nel corso dell’epidemia è la “rete” che ha vinto la sfida. Non ha fatto altro che accogliere tutti e raccogliere dati.
Ecco qui un esempio di chi realmente sta investendo sul futuro: Un “impresa” che sta acquisendo risorse (i nostri dati) per capire e prevedere come si trasformerà in futuro, il mercato e la società.
Zamperini indica chiaramente che oggi, le grandi corporation tecnologiche, sono le uniche che conoscono lo stato d’animo del mondo, le paure del pianeta e la salute di tutti noi.
Oggi più che mai, stati d’animo, opinioni, legami e contatti, sono convogliati nelle grandi piattaforme e in rete.
Quando le aziende saranno pronte per ricominciare a vendere — e qui si apre un altro mondo — saranno i dati raccolti delle corporation tecnologiche quelli che le faranno vendere….
Cediamo molto volentieri (o inconsapevolmente) i nostri dati per far si che la rete (o un Brand) soddisfi i nostri desideri, ma dimentichiamo che cediamo già informazioni forse molto più invasive di quelle che un App come Immuni acquisisce e che per di più viene utilizzata per fronteggiare un pericolo che minaccia in sostanza la ripresa stessa delle attività e della nostra economia.
Vogliamo ripartire ma non siamo disposti a fare in modo che possiamo farlo utilizzando strumenti che possono favorire una ripresa sicura? Intanto possiamo continuare a fare ricerche su Google, condividere pensieri e festeggiare eventi su Zoom. Sicuramente qualcuno, domani ringrazierà.
La realtà ci dice che un App come Immuni già esiste e opera. Anzi un “App” molto più importante e potente di Immuni.
Zamperini ricorda anche che solo attraverso Google Trends — citando un articolo del NewYork Times — un giornalista ha ricreato sostanzialmente una mappa di diffusione dell’epidemia, sfruttando i dati raccolti dal trend di parole chiave legate ad approfondimento sui problemi di gusto e olfatto (uno dei sintomi del virus).
Anni fa, un esperimento sempre di Google — Google Trend influenzali (GFT ) — ha fornito stime dell’attività influenzale in oltre 25 paesi tentando di fare previsioni accurate sull’attività influenzale. L’idea alla base era che, monitorando milioni di comportamenti di monitoraggio della salute online di utenti, il gran numero di query di ricerca di Google raccolte poteva essere analizzato per rivelare se l’esistenza o la una presenza di malattia simil-influenzale in una popolazione.
E’ evidente quindi che la discussione attuale sulla invasività di un App per gestire un’emergenza dai risvolti economici letali per tutti, appare quanto meno un po’ fuori fuoco.
Quello su cui invece è opportuno riflettere per cercare di affrontare la realtà che ci aspetta è su come utilizzare le informazioni che possiamo raccogliere o che potremo analizzare, studiare e valutare.
L’emergenza COVID-19 ha segnato un punto di svolta. Credo che ormai sia indiscutibile.
Ci ha fatto intravedere un altro mondo che, inutile negarlo, ci aspetterà da qui in avanti. Potremmo pensare che l’effetto COVID-19 avrà sulla futura generazione lo stesso effetto che ha avuto la tecnologia sulla nostra generazione. Non lo potremo ignorare perché avrà portato ad un nuovo modello sociale.
Cambierà tutto perché comunque dovremo convivere con questa realtà, per poco, per un po’ o per molto. In ogni caso il cambiamento è in atto e non c’è futuro se torniamo indietro.
La tecnologia può offrirci delle soluzioni, ma dobbiamo avere l’umiltà o la coscienza di accettare che non ne abbiamo il controllo, ma dobbiamo invece controllare il nostro livello di coinvolgimento…”non dobbiamo abusare delle nostre emozioni paleolitiche…”
I sistemi economici, le imprese devono accettare l’idea di lavorare su una nuova visione, riprogettare le strategie e soprattutto capire che il mercato avrà una nuova veste e nuove esigenze. E queste sono già note a qualcuno.
Starà nella capacità di acquisire parte di quella conoscenza che porterà a definire i vari punti di forza.
Report su dati e-commerce dell’ultimo periodo, dimostrano già oggi come stanno modificando le aziende le strategie di vendita e di marketing. Dovremo considerare una nuova filosofia di vita, che in ogni caso sarà presente nella realtà che si sta delineando. Un nuovo fronte che però non è sconosciuto perché già “elaborato” da dati acquisiti, comunicati espressi. Il modello di vita che dobbiamo accettare mutato in qualche modo, offrirà sempre di più dati e informazioni alla rete.
Ora più che mai dobbiamo guardare oltre l’attuale. Ora più che mai parlare di innovazione significa comprendere, sotto tutti i profili sociali, il cambiamento che stiamo vivendo.
La diffusa tendenza a mettere in luce tutti gli aspetti che prima avevamo trascurato, che prima non avevamo il tempo di, che prima non erano necessari, che prima erano scontati…ora non lo sono più grazie al COVID-19. Ma direi a questo punto grazie alla rete che ha raccolto questo nuovo mood mondiale e che ce lo mostra, anche se in piccolissima parte.
Questo potrebbe essere già un dato…. nuovi bisogni, nuove priorità che possiamo già vedere, proprio grazie a tutti noi che ogni giorno utilizziamo, non un App che ci segnala possibili situazioni di contagio, ma semplicemente lavorando, facendo running, andando al cinema o prenotando un ristorante.
Un’azienda che pensa ad una visione strategica futura non può tenerne conto.
E già qualcuno lo sta facendo.
Concludiamo con l’esempio di un’icona del mondo della moda come Giorgio Armani, che ha dichiarato guerra ad una visione del mercato che non ha più ragione (e credo non sia solo un aspetto morale…) di esistere.
Cogliendo l’umore attualeha ridisegnato il suo approccio al mercato, preannunciando un nuovo modello di produzione e organizzazione della sua Maison per diffondere un nuova mission per il suo Brand.
‘Non si può pensare solo al profitto. La moda deve rallentare se vuole ripartire. E tornare a essere umana…L’emergenza in cui ci troviamo dimostra che l’unica via percorribile sia un attento e ragionato rallentamento…Trovo assurdo che si possano trovare in vendita abiti di lino nel bel mezzo dell’inverno e cappotti d’alpaca d’estate per la semplice ragione che il desiderio d’acquistare deve essere immediatamente soddisfatto”
L’emergenza del COVID-19 ha accelerato l’adozione, su tutto il territorio nazionale, delle misure di lavoro agile, il cosiddetto “smart working” (introdotto per la prima volta dalla Legge n. 81 del 2017), al fine di evitare gli spostamenti e contenere i contagi.
A causa del modo improvvisato con cui il sistema produttivo italiano si è avvicinato a questa modalità di lavoro, le aziende e le persone potrebbero non essere pronte ad avvalersene correttamente. Il “lavoro agile”, infatti, richiede un sapiente utilizzo dell’innovazione digitale, una gestione integrata ed un’evoluzione dei modelli organizzativi aziendali di cui la privacyè parte integrante, per via del ruolo di primo piano rivestito dalla tecnologia.
Le modalità flessibili di lavoro smart, in generale, consentono di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali, oltre a permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e per loro stessi. Dall’altro lato, però, l’improvviso utilizzo dello smart working espone a maggiori rischi informatici i dispositivi aziendali, ma anche quelli personali, spesso usati in questa circostanza per necessità lavorative.
A partire dall’inizio del contagio del Coronavirus sono in constante crescita attacchi informatici come ad esempio l’invio di e-mail sospette, tutte riferite all’attuale situazione d’emergenza, in cui vengono richieste credenziali e dati personali (phishing) o che contengono allegati o link dannosi. Questo dato evidenzia quanto i criminali informatici, sfruttando le notizie globali e la situazione d’emergenza sanitaria, si approfittano delle persone che cercano informazioni sul contagio e che sono per questo più propense a cliccare su link potenzialmente dannosi o a scaricare allegati che si rivelano indesiderati.
In questa condizione, il datore di lavoro è tenuto a prestare adeguata attenzione a diversi aspetti inerenti l’uso delle nuove tecnologie. Deve continuare a mantenere, seppur a distanza, contatti con i propri dipendenti portando avanti il lavoro quotidiano, nel rispetto dei limiti fissati dallo Statuto dei Lavoratori. L’articolo 4 ha una particolare rilevanza quando si parla di lavoro agile, perché fissa un principio cardine: sono vietati l’installazione e l’uso di strumenti tecnologici e sistemi in grado di controllare a distanza lo svolgimento dell’attività lavorativa del dipendente, a meno che il ricorso a questi non sia stato prima siglato con un accordo sindacale o sia autorizzato dall’Ispettorato Territoriale del Lavoro.
Lo Statuto, nato nel 1970, è stato interpretato in maniera evolutiva dalla giurisprudenza e dagli orientamenti del Garante della Privacy e ha finito per comprendere anche un controllo sugli strumenti digitali dei lavoratori: dai sistemi di rilevazione della posizione fino ai software che monitorano in maniera costante l’uso che viene fatto di internet. La riforma del 2015 (Jobs Act) ha poi aggiunto che, anche se lo strumento di controllo a distanza è lecitamente installato, il datore di lavoro deve preventivamente informare il lavoratore agile sulla possibilità di eseguire controlli sulla sua prestazione.
Non c’è, comunque, un divieto “assoluto” di controllo sul lavoratore da parte del datore; se quest’ultimo ha il fondato sospetto che il dipendente stia commettendo degli illeciti, può svolgere controlli mirati, anche a distanza, a patto che siano proporzionati e non invasivi, e che riguardino beni aziendali (il PC fornito dal datore, la casella di posta aziendale, etc.) rispetto ai quali il dipendente non ha alcuna “aspettativa di segretezza”, dal momento che gli strumenti aziendali non possono essere usati per motivi personali.
Tuttavia, il datore di lavoro deve anche occuparsi della sicurezza dei dati e delle reti aziendali, a tutela dei propri dipendenti, clienti e fornitori (rispettando adeguati standard di sicurezza di data protection e cyber security). I dipendenti e i collaboratori, dovrebbero avere precise istruzioni, impartite dal titolare, per la salvaguardia dei dati personali che sono autorizzati a trattare nello svolgimento della propria mansione lavorativa. Non tutte le aziende, però, hanno direttive e procedure di sicurezza precise per lo smart working, soprattutto quando questo non è stato mai previsto prima d’ora.
L’errore più frequente nell’usufruire delle modalità di lavoro agile, utilizzando dispositivi personali e non forniti dall’azienda, è quello di trascurare le misure di sicurezza, non adottando sistemi antivirus e sottovalutando i rischi connessi alla navigazione in rete (accesso a siti pericolosi, download, etc.): uno scenario potenzialmente pericoloso se si accede, in questo modo, ai sistemi e ai server aziendali da remoto.
Anche in questo periodo di emergenza sanitaria, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali, dovranno rispettare il Regolamento UE 2016/679 (GDPR). Perciò il datore di lavoro dovrà attuare tutte le procedure per l’attività lavorativa dello smart working, seppur non precedentemente previste, in modo da limitare il rischio per i diritti e le libertà fondamentali degli interessati.
Una risposta concreta a tali problemi, seppur non obbligatoria, è rappresentata dalla compilazione e dall’aggiornamento della Valutazione d’Impatto (la “DPIA” — art. 35 GDPR), ovvero un’analisi delle necessità, della proporzionalità, nonché dei relativi rischi, allo scopo di approntare misure idonee ad affrontarli.
In questa forma di lavoro agile non si può non far riferimento alla cyber security, poiché innumerevoli informazioni vengono scambiate e condivise online. I dati particolari, le proprietà intellettuali e i documenti riservati potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed essere quindi oggetto di “data breach”.
Oltre ad affidarsi a VPN (Virtual Private Network) sicure e a provider affidabili, anche in questo caso, la formazione dello smart worker costituirebbe un’efficace misura di sicurezza, poiché come prescritto dall’art. 32 del GDPR:
“Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Occorrerà considerare questa diffusione epidemica come un evento che ha interrotto l’abituale continuità lavorativa e, conseguentemente, ha minacciato i sistemi informativi. È auspicabile trarne un insegnamento per implementare sistemi efficaci al fine di rendere maggiormente operativa l’azienda già a partire dalla “Fase 2”, attivando una corretta progettazione e una maggiore cultura della sicurezza fra i dipendenti.
Come ben sappiamo stiamo passando un periodo particolare nel quale sempre più organizzazioni e aziende fanno lavorare i propri dipendenti da casa. Sebbene questo “nuovo”, per così dire, metodo sia vantaggioso, apre molteplici porte agli attacchi informatici creando così nuove sfide di Cyber-security.
Mentre infatti, le aziende si affrettano a consentire il così detto “smart-working”, i criminali informatici incrementano le loro strategie per trarre vantaggio da coloro che potrebbero avere comportamenti, riguardanti la sicurezza, inadeguati o ingenui. Oltre alle necessità di proteggere la rete aziendale, questo tipo di lavoro aumenta a dismisura la superficie di attacco, ciò a beneficio degli attori delle minacce che si trovano di fronte una opportunità più che interessante.
Siamo di fronte ad una grande ed immediata migrazione di utenti dalle attentamente monitorate e protette reti aziendali, verso reti Wi-Fi domestiche in gran parte non monitorate e spesso non sicure. Un piatto troppo allettante per i Cyber criminali. Questi utenti si ritroveranno fuori dalla portata degli strumenti di sicurezza aziendali basati sul perimetro e con ogni probabilità riceveranno un esponenziale aumento di phishing e attacchi di rete.
Rampa di lancio
I ricercatori affermano che la prima serie di attacchi a lavoratori remoti probabilmente giocherà sulle loro paure e preoccupazioni, su ciò che li ha portati a dover lavorare da casa — il coronavirus stesso.
La preoccupazione è più che teorica. Alcuni Cyber criminali hanno già sfruttato attacchi informatici a tema coronavirus mentre il panico continua attorno alla pandemia globale, compresi vari attacchi di malware che coinvolgono Emotet e altre minacce.
Ad esempio, recentemente è stato individuato un APT che diffonde un trojan di accesso remoto (RAT) unico e personalizzato che acquisisce schermate, scarica file e altro, in una campagna a tema COVID-19. Ovviamente, l’Organizzazione Mondiale della Sanità (OMS) ha emesso avvertimenti sui truffatori che fingono di essere l’organizzazione. Si prevede che tale attività si espanda di pari passo all’espansione della superficie di attacco.
La paura delle persone per il virus è la vulnerabilità che gli aggressori cercheranno di sfruttare. Un individuo stressato e spaventato è di propria natura spinto a dimenticare la propria formazione sulla sicurezza e sarà più probabile che esso faccia clic su un collegamento in una e-mail di phishing o che fornisca le proprie credenziali ad un sito Web dannoso. Adesso è un momento importante per avvertire e dare consapevolezza agli utenti in modo che non eseguano azioni che possano mettere la propria azienda in guai seri.
Le organizzazioni e le aziende non sono immuni a queste problematiche. Anche esse possono agire in maniera distratta e conseguentemente aumentare il rischio. A maggior ragione devono quindi fornire strumenti e buone pratiche per evitare la propria esposizione online.
Ad esempio la Otterbein University di Columbus, nell’Ohio, è stata colpita da un attacco ransomware mentre stava preparando il passaggio alle lezioni online. I funzionari IT dell’università hanno dichiarato che non è ancora chiaro quale fosse il vettore di infezione dell’attacco.
Principali sfide nel lavoro a distanza
La mancanza di risorse IT può danneggiare molte organizzazioni mentre agiscono per abilitare strategie remote. Quando gli utenti vengono inviati al di fuori del normale perimetro, l’applicazione di patch e la protezione di centinaia di migliaia di endpoint diventa una sfida molto più grande.
I Team di sicurezza perdono il controllo dell’ambiente nel quale l’utente lavora. Essi si ritrovano a porsi domande del tipo “hanno protetto la loro rete domestica e il loro Wi-Fi? Se utilizzano un personal computer, quali strumenti ho per garantire che il dispositivo non sia compromesso? ecc…”
In sostanza il perimetro della rete aziendale adesso include tutte le case dei propri dipendenti e mentre alcuni programmi di sicurezza sono preparati a questo, altri non lo sono.
Per quanto riguarda le organizzazioni che non sono pronte, è importante ricordare che esiste un’ampia fascia di aziende che normalmente non consentono il telelavoro. Governo, legale, assicurativo, bancario e sanitario sono tutti ottimi esempi di settori che non sono preparati per questo massiccio afflusso di lavoratori remoti.
Le sfide sono particolarmente evidenti per coloro che lavorano in settori regolamentati e quelli che utilizzano software proprietario o specifico, come gli operatori di borsa. Il software proprietario o specifico è solitamente anche un software legacy. È difficile da correggere e mantenere e raramente è possibile accedervi da remoto.
Spesso queste organizzazioni, tra le quali molte scuole, sono in possesso di un software proprietario on-premise(in sede) che richiede configurazioni speciali per essere reso accessibile da remoto.
Le aziende regolamentate rappresentano una problematica in quanto utilizzano sistemi, dispositivi o utenti ancora non appropriate per lo smart working. Esse devono disporre di ambienti e dispositivi sicuri per soddisfare le normative e spesso non è possibile garantire un lavoro a distanza sicuro a causa di problemi di sicurezza e di accesso di persone non autorizzate.
In un mondo nel quale l’adozione di SaaS e cloud è in crescita, garantire la sicurezza del lavoro a distanza può essere semplice se i sistemi sono tutti in una rete interna, la vera sfida è quella di fornire agli utenti un modo sicuro di accedere a tali sistemi tramite una VPN(Virtual Private Network) o altra soluzione di rete.
Spesso le organizzazioni hanno necessità di aiuto da parte dell’IT che però non sempre si trova in possesso degli strumenti giusti, da qui la necessità di prendere il controllo della macchina, sprecando molto tempo e rischiando di compromettere la sicurezza.
Da non sottovalutare è anche l’aspetto della crescente minaccia alla sfera mobile. Gli utenti che restano a casa o che sono bloccati in ambienti remoti, dipenderanno fortemente dai loro dispositivi mobile. Gli attacchi a questi dispositivi sono particolarmente efficaci perché innescano risposte immediate da parte dei destinatari: alla base di ciò ci sono piattaforme di comunicazione istantanea come SMS, iMessage, WhatsApp, WeChat e altri.
Best practices per il lavoro a distanza
Fortunatamente, le aziende possono pianificare il lavoro a distanza al fine di affrontare alcune delle problematiche di sicurezza.
Il primo passo che i datori di lavoro dovrebbero affrontare adesso è quello di condurre una formazione e concordare una gestione da remoto con i loro responsabili di settore. Una buona pratica è quella di inventariare le applicazioni aziendali e identificare quelle mission-critical. Per le applicazioni SaaS è bene seguire i provider e informarsi sui piani di continuità aziendale. Per le applicazioni locali che richiedono connettività VPN, occorre testare e convalidare tale connettività VPN per un utilizzo più elevato del solito.
Anche la valutazione dei rischi delle configurazioni informatiche dei lavoratori remoti è essenziale, le aziende non devono fare a meno di chiedere ai propri dipendenti come si collegheranno ai sistemi dell’azienda e da quali dispositivi. Sarà poi compito dell’azienda scegliere se ritenere conformi tali metodologie e strumenti e nel caso non lo fossero fornire soluzioni appropriate e sicure per la salvaguardia aziendale.
A favore delle aziende, sono presenti numerosi servizi Cloud che permetto di avere un ambiente Workspace digitale da mettere a disposizione dei propri utenti. I loro vantaggi sono numerosi e vanno dalla riduzione dei costi alla possibilità di avere dati al sicuro in ambienti crittografati. Non va dimenticato però che sistemi sicuri perdono parte della loro affidabilità se l’accesso a tali ambienti viene eseguito da dispositivi o reti compromesse o da utenti mal formati e con una scarsa Cyber igiene.
A tal proposito, dato l’aspetto social-engineering della maggior parte degli attacchi, l’educazione degli utenti è più importante che mai. Occorre assicurarsi che i propri dipendenti siano aggiornati con le ultime tematiche di consapevolezza sulla sicurezza informatica e che non vengano ingannati da attacchi sempre più spesso “ad-hoc”.
Consigli per difendersi dal phishing
Una delle maggiori minacce che possono danneggiare noi e le aziende, come detto precedentemente, è il phishing. Per proteggersi occorre abbracciare il buon senso.
Dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. E’ bene ricordare che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali. Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone.
Spesso dietro i nomi di siti apparentemente sicuri o le URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri. Una piccola accortezza consigliata è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
Non da meno è buona pratica stare attenti ad eventuali indizi che una email può contenere.
I messaggi di phishing sono progettati per ingannare e spesso utilizzano imitazioni realistiche dei loghi o addirittura delle pagine web ufficiali di banche, aziende ed enti. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue.
È utile anche prestare attenzione al mittente (che potrebbe avere un nome vistosamente strano o eccentrico) o al suo indirizzo di posta elettronica (che spesso appare come un’evidente imitazione di quelli reali). Meglio diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali.
E’ necessario installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing. Programmi e gestori di posta elettronica hanno spesso sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing: è bene controllare che siano attivati e verificarne le impostazioni.
Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network, ecc.
Scelta di un metodo di accesso remoto
Ci sono due migliori metodi per connettere i lavoratori remoti all’azienda: gateway VPN e accesso remoto:
VPN Gateway
Questo è il metodo più sicuro di lavoro remoto se configurato correttamente con una macchina di proprietà dell’azienda. Non è raccomandato per dispositivi personali. I gateway VPN estendono i protocolli di sicurezza informatica a livello aziendale attraverso un tunnel crittografato sicuro tra la rete interna dell’azienda e il computer remoto. Sebbene questa sia un’opzione relativamente sicura, i dati infetti possono raggiungere la rete interna se il computer in connessione è compromesso su una rete domestica.
Servizio di accesso al computer remoto
Attraverso l’uso di un servizio software di terze parti, gli utenti remoti possono connettersi direttamente a un computer dell’ufficio. Il software consente loro di controllare le azioni sul proprio computer all’interno di una finestra sul proprio computer di casa. Questa offerta è una valida alternativa a una VPN quando i dipendenti devono lavorare da dispositivi personali poiché conserva tutti i dati e le applicazioni contenuti in ufficio. Sebbene conveniente, una corretta configurazione dell’hardware remoto è fondamentale per una connessione sicura. Tutti i dati inviati dal computer dell’ufficio al computer remoto sono crittografati, ma tale crittografia nasconde anche i dati dai firewall aziendali e dal software di rilevamento delle minacce. Se i computer dei dipendenti non sono sicuri, i dati infetti possono entrare nella rete interna senza essere soggetti ad alcun rilevamento.
In conclusione
Considerati questi “tips” non resta che stare attenti sotto ogni aspetto. Sappiamo che l’emergenza di oggi non è quella digitale ma una volta superato questo periodo potrebbe esserlo.
Occorre farsi trovare preparati. La consapevolezza e la formazione sono adesso più che mai il punto chiave di una corretta igiene informatica.
Per citare un personaggio di una serie tv
“Le persone fanno sempre i migliori exploit. Non ho mai trovato difficile da hackerare la maggior parte delle persone. Se si ascoltano, se le osserviamo, le loro vulnerabilità sono come un’insegna al neon avvitata nelle loro teste.”
Nell’era digitale il susseguirsi di eventi di cronaca riportanti notizie di incidenti informatici e non, da cui sia derivata una violazione della privacy, è ormai all’ordine del giorno; dai virus più o meno sofisticati agli errori umani, dalle sottrazioni di banche dati alle alterazioni di file, dai furti di password ai ricatti online e così via.
Di conseguenza, prima è aumentata la percezione e poi il timore, che i propri dati personali possano essere persi, modificati o divulgati senza autorizzazione. Questo è il motivo per cui il Regolamento UE 2016/679 (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati è entrato in vigore il 25 maggio del 2018 e stabilisce, tra le altre cose, anche come un’organizzazione (azienda privata o ente pubblico) debba comportarsi in questi casi.
La mancata compliance al GDPR potrebbe avere un forte impatto sul business delle imprese, non solo bloccando l’operatività, ma anche creando un danno di reputazione. L’Autorità di controllo, ossia il Garante per la Protezione dei Dati Personali, sanziona i trasgressori con pesanti multe fino a 20 milioni di euro o con il 4% del fatturato annuo del gruppo, se superiore alla cifra appena citata.
Il primo passaggio per i titolari e i responsabili dei trattamenti, preliminare a qualsiasi altra azione successiva, è quello di accertarsi, anche con il supporto del Data Protection Officer (DPO), qualora nominato, che quanto accaduto rappresenti effettivamente una violazione.
Una violazione dei dati personali può comportare danni fisici, materiali o immateriali. Questi possono includere la perdita di controllo sui propri dati personali, la limitazione dei diritti, discriminazioni, furto o frode dell’identità, perdite finanziarie, danni alla reputazione, divulgazione non autorizzata di dati personali protetti da segreto professionale e, in generale, qualsiasi implicazione di carattere economico o sociale.
Quando le aziende devono affrontare i temi della protezione dei dati non ci sono solo da evitare le pesanti multe del GDPR, così come non ci sono solo da tutelare i diritti delle persone. C’è anche da difendere l’intero patrimonio informativo, composto da dati commerciali e strategici, segreti industriali, dossier riservati, e tante altre informazioni che devono rimanere confidenziali; e dalla cui sicurezza può dipendere il futuro dell’azienda stessa.
Sul sito istituzionale del Garante della Privacy si definisce Data Breach: “Una violazione di sicurezza che comporta — accidentalmente o in modo illecito — la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”
Tre sono quindi i tipi di violazione: perdita di riservatezza, di integrità e di disponibilità. È una violazione che tocca la riservatezza quella che consiste in una diffusione o in un accesso non autorizzato o accidentale ai dati; riguarda, invece, la sfera dell’integrità una modifica non autorizzata o accidentale; concernono la disponibilità dei dati, infine, l’impossibilità di accesso, la perdita e la distruzione non autorizzata o accidentale.
Sovrastimare o sottovalutare l’importanza del Data Breach è in realtà più frequente di quanto immaginiamo e compiere correttamente questa operazione diventa fondamentale nel processo dell’incidente. Solo una corretta identificazione di quanto accaduto potrà aiutarci a stabilire quanto la violazione sia stata grave e quali siano le azioni correttive che dovremo intraprendere.
Un esempio: qualora il personale di un ospedale non avesse accesso, anche solo temporaneamente, ai dati dei pazienti, sussisterebbe un rischio non trascurabile per gli interessati che potrebbero vedere compromesso il proprio percorso di cura. Al contrario, se una società, a causa di un temporaneo blackout, non avesse modo di accedere ai dati personali dei propri clienti per inviare una newsletter è molto probabile che ciò non comporti rischi tali da determinare la notifica all’Autorità.
Il GDPR interviene stabilendo, all’art. 33, i casi in cui una notifica dell’incidente debba essere inviata all’Autorità di controllo. Questi casi comprendono, sostanzialmente, quelle violazioni che possono avere importanti ripercussioni sugli individui, causando dei rischi non trascurabili per i diritti e le libertà degli interessati.
Se il rischio è elevato, oltre alla notifica al Garante, l’art. 33 del GDPR sancisce anche l’obbligo di trasparenza a favore dei soggetti potenzialmente danneggiati. Per fare un esempio: se fossero rubate le password di accesso a un conto online, il correntista deve essere avvertito senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare viene a conoscenza del fatto.
A prescindere dall’obbligo di notificare l’accaduto, il GDPR prevede che la violazione dei dati sia tracciata e descritta dal titolare del trattamento, così come le contromisure intraprese e previste per la Valutazione d’Impatto (DPIA) ex art. 35 GDPR. Su richiesta dell’Autorità di controllo, tale documentazione dovrà essere disponibile, poiché costituisce prova di conformità al requisito del GDPR, ovvero di applicazione del principio di responsabilizzazione (c.d. accountability).
Il report “Kaspersky’s State of Industrial Cybersecurity 2019” rivela che due terzi delle organizzazioni industriali, sottoposte al sondaggio, ignora le Linee Guida delineate dal Gruppo di Lavoro Articolo 29; i risultati evidenziano, inoltre, come il 36% del campione colpito da un Data Breach riguardi le PMI.
Il primo passo nella gestione degli incidenti di sicurezza è quindi la consapevolezza (c.d. awarness) che qualsiasi organizzazione possa subire nel tempo delle violazioni e che quindi debba predisporre degli adeguati presidi a salvaguardia delle proprie informazioni in termini di metodologia, processi e strumenti a supporto. Naturalmente il livello di presidio potrà essere di diversa entità in funzione delle dimensioni dell’organizzazione stessa.
Una risposta rapida, strutturata ed efficace ad un evento di sicurezza, in grado di mitigare costi, rischi e conseguenze del Data Breach dipende dalla misura in cui un’organizzazione intende investire nella gestione degli incidenti oltre che dalle dimensioni dell’organizzazione stessa, dalla tipologia delle informazioni trattate e dalle caratteristiche del trattamento.
La gestione delle violazioni e tutta l’architettura giuridica del GDPR si basa sul concetto di prevenzione. Prevenire significa garantire l’accountability: il titolare del trattamento deve avere un atteggiamento proattivo, accertarsi e dimostrare che gli strumenti e le procedure implementate nella gestione dei dati personali siano adeguati fin dalla progettazione, secondo impostazione predefinita, nel rispetto dei principi di privacy by design and by default espressi dal Regolamento.
La procedura di gestione della violazione dei dati è una componente importante del sistema di gestione della conformità al GDPR e, come tale, deve essere anch’essa oggetto di miglioramento. Occorre identificare e fare tesoro degli eventuali errori commessi, nonché delle situazioni che sono state gestite in modo non adeguato, al fine di capitalizzare l’esperienza fatta e trasferirla nelle successive revisioni della procedura, nei format contrattuali e nelle designazioni dei fornitori in qualità di Responsabili del trattamento.
Una serie di strade aperte su cui riflettere e orientare le future scelte strategiche.
L’impatto sociale e il ruolo della tecnologia
E finalmente quasi tutti conobbero lo “Smart Working”….
Non è una storiella ma la realtà che abbiamo o stiamo vivendo tutti.
In realtà è già da tempo che questo modo di lavorare viene praticato in molte aziende italiane.
Quelle che hanno potuto applicare questo modello non necessariamente avevano acquisito capacità tecnologiche particolari, ma hanno sicuramente sviluppato e acquisito un modello organizzativo e manageriale adatto all’applicazione di questa modalità lavorativa.
Certo che l’emergenza attuale data dalla diffusione dell’epidemia da COVID-19 ha allarmato molte Aziende sul fronte dell’infrastruttura e degli strumenti necessari ad organizzare, o meglio, riorganizzare il lavoro dei propri dipendenti.
E su questo aspetto c’è poco da fare. Se non ci sono gli strumenti è inutile già affrontare il problema.
Questo però non è il problema, per fortuna.
La tecnologia così pervasiva nelle nostre vite, ormai da diverso tempo, non è stata però ancora capace di convincere molte imprese a rivedere il modo di pensare il “rapporto di lavoro”.
In effetti pensare che la tecnologia ci inviti a ripensare e riflettere su alcuni nostri modelli di vita può sembrare presuntuoso se non addirittura minaccioso.
Bisogna pensare invece a come la situazione sconvolgente che stiamo vivendo oggi, ci impone di riflettere sulle sfide che ci vengono dettate dalle crisi.
Come diceva infatti Einstein
È nella crisi che nasce l’inventiva, le scoperte e le grandi strategie.
Ed è proprio la tecnologia stessa che ci sfida. Ci sfida a confutare le sue supposizioni. E questa è una capacità umana e non tecnologica.
In questi giorni non sono infatti mancante polemiche, discussioni e scetticismi attorno a questo tema. Abbiamo visto le difficoltà delle persone che hanno dovuto stravolgere da un giorno all’altro la propria abitudine lavorativa, molte imprese strutturalmente impreparate a giocare la partita su questo nuovo campo, le sollevazioni politico-sociali sulle modalità di “controllo” del lavoro remoto.
Anche lo stesso termine “Smart Working”, ennesima anglosassonizzazione dei concetti, viene messo sotto accusa per l’inesattezza, inappropriatezza o addirittura incoerenza, con il quale viene usato, forse a voler spostare il focus “dal” problema perché affrontarlo è molto più difficile.
“La vera crisi è l’incompetenza. Il più grande difetto delle persone e delle nazioni è la pigrizia nel trovare soluzioni.”, come appunto ci ricorda ancora Einstein.
Inutile incrementare il sospetto che lo smart working (continuiamo a chiamarlo così) sia una misura inapplicabile perché non si può facilmente controllare l’attività lavorativa, perché lavorare senza essere suscettibili di una verifica visiva real time comporti una inevitabile perdita di efficienza o peggio una falsa rendicontazione di attività.
Non è importante quanto tempo viene dedicato al lavoro, ma gli obiettivi che si riesce a raggiungere impiegando possibilmente meno tempo e risorse di quelle che si potrebbe prevedere.
L’aiuto della tecnologia dovrebbe essere questo. O almeno quello che noi dovremmo tirar fuori dalla tecnologia.
Applicare questo nuovo modello di lavoro significa adottare nuovi modelli organizzativi, essere capaci di individuare quei processi e quelle attività che effettivamente possono adattarsi a questo modello, sviluppare una cultura lavorativa ben lontana dalla classica visione ore/salario.
Una visione che deve essere acquisita sia dai lavoratori che dai datori di lavoro.
E’ bene ricordare poi che il nostro ordinamento disciplina il LAVORO AGILE , come modello adottato per incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro
Un lavoro che può essere organizzato per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici
Le tutele contrattuali non sono modificate rispetto all’attività svolta tradizionalmente e sono espressamente previste modalità di tutela della salute e della sicurezza dei lavoratori oltre alla messa a disposizione di eventuali strumenti tecnologici previsti per lo svolgimento dell’attività. Secondo la Legge 81/2017 il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore.
Le cosiddette modalità di controllo, sono definite necessariamente con accordo tra le parti (dipendenti e datore di lavoro) con indicazione delle fasce orarie di disconnessione.
E’ chiaro allora come l’improvvisa applicazione di una modalità non precedentemente concordata, determini perplessità e interrogativi, soprattutto perché si è chiamati a svolgere un processo di lavoro e un’organizzazione delle fasi operative ben diverse da come venivano svolte un giorno prima.
Non sappiamo ancora se la terapia d’urto condurrà alla scoperta o alla realizzazione di grandi strategie di cui parlava Einstein, ma sicuramente potremmo vedere presto un nuovo modo di approcciare il rapporto di lavoro, dove responsabilizzazione, motivazione e autonomia saranno sicuramente più rilevanti.
La Legge 81 del 2017 – Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato
Le opportunità e le strategie da cogliere tra sicurezza e professionalità
Gli aspetti da considerare sui quali riflettere sono però molteplici e senza dubbio uno dei principali è quello legato alla Sicurezza dei Dati.
Penso che questo sia l’aspetto più interessante e più aderente all’attuale realtà, collegato all’applicazione del lavoro agile in maniera sempre più ampia e diversificata.
Le aziende travolte dall’emergenza in atto, potrebbero non aver prestato la dovuta attenzione agli aspetti legati alla cyber security e protezione dati personali.
Questo ovviamente è legato ad un fatto contingente e imprevisto.
Ma il problema esiste e anzi deve essere sicuramente gestito in un contesto di normale applicazione, come probabilmente si potrebbe verificare in un imminente futuro.
Non basta quindi la realizzazione dell’infrastruttura tecnologica ma serve anche un investimento aziendale legato alle misure di sicurezza, sia sul alto organizzativo che delle responsabilità.
In sintesi sarà necessario considerare almeno:
Le misure relative alla sicurezza dei sistemi utilizzati da remoto;
Le politiche delle organizzazioni per l’applicazione del lavoro agile;
Le misure a carico del lavoratore agile.
Le Aziende che già erano organizzate con questa modalità lavorativa, hanno dotato i dipendenti di applicativi pronti per l’applicazione remota, in una logica perfettamente integrata con l’intera gestione aziendale, messo a punto dispositivi telefonici virtuali (software) adeguati allo scopo, o utilizzato portali per la gestione del tempo lavorativo (rilevazione presenze, ecc.), in un contesto gestito in modo formalmente ineccepibile.
Tuttavia sarà inevitabile mettere a punto un sistema organizzativo che oltre alla creazione della struttura sia in grado di mantenerne l’operatività e garantirne al continuità.
Solo così possono poi essere migliorati e messi a punto tutti gli altri aspetti di monitoraggio anche sul fronte della sicurezza.
E’ quindi un problema non indifferente, quello che si è venuto a creare in questi giorni con la spinta ad utilizzare l’attività in smart working senza però avere idea di come affrontare in modo serio la questione nel suo complesso, mettendo di fatto a rischio i dati aziendali.
Se i dipendenti si trovano ad utilizzare i loro dispositivi personali per accedere ai Sistemi aziendali si apre un rischio che potrebbe essere molto più oneroso della momentanea interruzione delle attività lavorative.
Banalmente, l’accesso ai sistemi aziendali, include le connessioni di rete (ADSL, WiFi, ecc.) che magari restano impostate dagli utenti privati, sui parametri standard (incluse le password amministrative, disponibili con una semplice ricerca su Google).Inoltre può succedere che non si adottano (o non in maniera adeguata) sistemi antivirus/antimalaware e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità (accesso a siti pericolosi, download, ecc.).
Per evitare quindi questi primi evidenti rischi di sicurezza, l’attivazione di una connessione VPN è il primo protocollo da adottare per realizzare quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali.
Ciò richiede competenza e attenzione e non può essere improvvisato. Mettere in collegamento diretto il dispositivo remoto col sistema informativo aziendale significa anche minimizzare o tenere sotto controllo il rischio ad esempio che un software malevolo infetti il dispositivo remoto e da qui l’intero sistema aziendale.
Primo passo essenziale è quindi quello di definire e condividere un regolamento/procedura aziendale sull’applicazione del lavoro agile nel rispetto dei principi collegati con le normative di riferimento (lavoro e privacy).
E’ evidente poi che tutte le risorse umane coinvolte nell’applicabilità di questa forma di lavoro, siano dotati di mezzi e dispositivi a uso aziendale opportunamente configurati e gestiti secondo norme di sicurezza idonee e coerenti con le diverse responsabilità identificate in maniera chiara e regolamentata a priori.
Sarà quindi opportuno attivare un piano di lavoro condivisoper sapere “chi fa, che cosa” alla luce di un cronoprogramma comune, facilitato magari dall’uso di strumenti (es. Microsoft Outlook, o Google Calendar, ecc) tali da consentire da un lato la pianificazione del lavoro, e dall’altro la visibilità di ciascuno, coinvolto da remoto.
Ciò che infine è fondamentale è la presenza di figure essenziali di coordinamento delle attività dei gruppi che lavoro in modalità “smart working”. In questo contesto il lavoro di gruppo e le capacità di gestire e organizzare il gruppo è la chiave di volta per il suo funzionamento.
Organizzare un processo di lavoro efficace e produttivo a distanza richiede una capacità specifica per alcuni aspetti molto diversa da quella applicabile in un ambito tradizionale in presenza.
Anche questo aspetto sarà sicuramente uno degli skills professionali che probabilmente nel prossimo futuro verrà richiesto da molte imprese.
Le criticità legate alla maggiore o minore diffusione delle nuove tecnologie, il ruolo della digitalizzazione e della sempre più capillare invasione delle connessioni nelle nostre vite, non è un fattore da demonizzare, se si è consapevoli di quello che significa.
Questo è un primo e significativo aspetto di cui dobbiamo sempre tenere conto, nell’affrontare con il giusto approccio il tema dell’innovazione e della digitalizzazione, ormai elemento cardine della nostra società e della nostra economia.
E’ quanto è emerso anche in occasione del dibattito, promosso dalla Camera di Commercio di Arezzo e Siena attraverso l’azienda speciale Arezzo Sviluppo, svolto giovedì 7 novembre 2019 presso la sede della Banca d’Italia Sede di Arezzo e in collaborazione con Confindustria Toscana Sud, Punto Impresa Digitale e Clusit.
Nel dibattito si sono confrontati esperti e protagonisti del mondo imprenditoriale, del sistema associativo e delle istituzioni, impegnate su vari fronti a gestire il tema della sicurezza informatica o Cyber Defence.
Da una prima panoramica della situazione del sistema economico-produttivo locale sul fronte della digitalizzazione – spiega Giuseppe Salvini, Segretario Generale Camera di Commercio di Arezzo e Siena – emerge ancora un freno significativo da parte delle piccole e micro imprese ad investire in una vera trasformazione digitale dei processi produttivi e organizzativi.
Questo elemento ha riflessi negativi sulla produttività delle nostre imprese ma anche sulla capacità di coinvolgere risorse umane con competenze in grado di gestire questo necessario cambiamento.
Tuttavia la mancanza di un coinvolgimento completo nel sistema della digitalizzazione costituisce esso stesso un fattore di rischio.
Nell’analisi complessiva degli interventi è stato infatti evidenziato – Sabina Di Giuliomaria, Responsabile Divisione CERTBI e Garibaldi Conte, Comitato Scientifico Clusit– che se da un lato è opportuno, necessario e irrinunciabile, comprendere quanto sia ormai rilevante la tecnologia nella nostra realtà e soprattutto nel nostro futuro, dall’altro dobbiamo acquisire sempre più consapevolezza (awareness) per regolare e proteggere questo nuovo mondo.
L’impatto sullo sviluppo industriale, sulla produzione, sulla mobilità, sulla salute e quindi su tutta la nostra vita quotidiana di crimini informatici, di sabotaggi, di malware introdotti nei sistemi informativi e di tante altre minacce illustrate nel dettaglio dal rapporto CLUSIT 2019, sarà tanto maggiore quanto minore è l’attenzione del sistema economico e sociale al tema della protezione.
Fabrizio Bernini, Presidente Confindustria Toscana Sud Delegazione di Arezzo e Presidente Zucchetti Centro Sistemi Spa – mette ben in evidenza la necessità da parte del sistema produttivo di essere coinvolta pienamente nel processo di digitalizzazione, ma sottolinea anche che l’atteggiamento verso l’innovazione deve essere configurato all’interno di un quadro di protezione efficace del sistema stesso. Se pensiamo soprattutto al ruolo dell’Intelligenza Artificiale possiamo misurare bene quanto sia rischioso incorrere in una ”interferenza indesiderata” ad es. su un auto a guida autonoma o su un dispositivo medico salvavita.
Conquistare il mercato con un prodotto o servizio innovativo non basta. Serve soprattutto sapersi difendere dal suo utilizzo improprio
Sul fronte normativo le Istituzioni più importanti a livello nazionale ed europeo, cercano di stabilire delle regole di salvaguardia che partano dalla tutela delle persone e in particolare dalla tutela dei dati personali.
Questo primo sistema di protezione cerca quindi di responsabilizzare il sistema economico verso la gestione dei dati delle persone, ma le persone sono parte dello stesso sistema economico. Stefano Susini, Amministratore di Esseti Servizi Telematici – evidenzia infatti come i rischi di Data Breach alle quali le imprese sono sempre più esposte, non solo costituisce un danno economico sotto il profilo del blocco produttivo, della perdita di informazioni necessarie per la gestione aziendale o della perdita dei clienti, ma anche una reale perdita monetaria dovuta alle sanzioni significative da versare in caso di riscontrata responsabilità nel non aver definito un adeguato sistema di protezione.
Favorire la crescita del sistema economico e il miglioramento delle condizioni di vita della nostra società attraverso l’utilizzo delle tecnologie digitali e delle loro applicazioni è senza dubbio un aspetto positivo al quale è impossibile sottrarsi.
Ma proprio per questo è necessario mettere in campo tutto quanto necessario, con consapevolezza e con massima efficacia, per regolare e difendere questo contesto.
Quale futuro?I crimini del futuro saranno sempre di più quelli rivolti ai dati, siano personali o quelli di più vaste dimensioni. I sistemi di difesa più significativi saranno quelli creati nel mondo della rete o del cloud, piuttosto che di quelli creati nel mondo reale con muri o allarmi.