Abitare

Sto lavorando da casa: sono responsabile della sicurezza informatica della mia postazione di lavoro?

I dipendenti in home office devono rispettare le norme di sicurezza dell'azienda anche quando lavorano da casa.

Se un dipendente causa intenzionalmente o per negligenza un danno al proprio datore di lavoro, ne è responsabile. L'entità dell'obbligo di diligenza del lavoratore dipende «dal singolo rapporto di lavoro, tenendo conto del rischio professionale, del livello di istruzione o di competenza richiesto per il lavoro, nonché delle capacità e delle caratteristiche del dipendente di cui il datore di lavoro era a conoscenza o avrebbe dovuto essere a conoscenza». (Si veda anche: «Chi risponde se si cagiona un danno all’autoveicolo dell’associazione?»)

Questa normativa sulla responsabilità si applica anche all'ufficio presso il proprio domicilio. Mentre il datore di lavoro deve garantire che l'accesso remoto sia tecnicamente sicuro, il dipendente deve attenersi alle misure di sicurezza specificate dall'azienda. In quali casi specifici di attacchi informatici il dipendente è responsabile viene deciso caso per caso.

Il datore di lavoro deve garantire un accesso remoto sicuro

Se l'azienda consente di lavorare da casa, deve garantire la possibilità di lavorare in sicurezza. Le misure da adottare sono diverse a seconda della situazione di minaccia. L'Ufficio federale della cibersicurezza (UFCS) fornisce informazioni sui rischi più rilevanti e sulle misure precauzionali nel documento «Telelavoro – accesso remoto più sicuro»:

Malware / phishing. L’UFCS raccomanda l'autenticazione a due fattori e l'uso di password forti;

Attacchi ransomware. Se l'azienda crea continuamente backup offline, anche dei file archiviati localmente, può impedire il blocco dell'accesso ai dati.

(Vedi anche: «Chi paga per il materiale da lavoro in caso di Home office?»)

Il dipendente deve attuare le misure di sicurezza

Come scrive l’UFCS, l'azienda deve coinvolgere i propri dipendenti nell'implementazione di misure contro gli attacchi informatici. Da un lato, deve sensibilizzare i propri dipendenti sui rischi della criminalità informatica, formarli e istruirli. In secondo luogo, l'azienda deve garantire un accesso a bassa soglia all'helpdesk. In particolare, i dipendenti devono sapere a chi possono e devono rivolgersi in caso di domande sulla sicurezza.

Da parte sua, il dipendente deve anche attuare le misure di protezione, soprattutto quando lavora da casa, e seguire le istruzioni del datore di lavoro. Se non lo fa, può essere tenuto a risarcire il datore di lavoro, in tutto o in parte, per i danni che ne derivano. Se e in che misura sia responsabile dei danni dipende dalle circostanze specifiche, come sempre accade nel caso della responsabilità dei dipendenti. La responsabilità va oltre, ad esempio se il dipendente ha deliberatamente ignorato le misure di protezione o se egli stesso lavora nel settore informatico e deve quindi essere in grado di valutare il rischio di cyberattacchi. (Vedi anche: «Posso utilizzare la WLAN del mio vicino che non è protetta da password?»)