Accessi aziendali: istruzioni per l’uso (e per non finire nei guai)

Privacy

Magari hai sentito dire che basta avere le credenziali giuste per stare tranquilli. “Se ho username e password, vuol dire che posso entrare, no?”. Ecco, no. O meglio: dipende da come ci entri, da cosa fai una volta dentro, e – soprattutto – da perché ci sei entrato.

C’è una storia che ci aiuta a capirlo meglio. Una storia vera, che arriva dritta dritta dalla Corte di Cassazione, la numero 40295 del 2024. È il genere di storia che, se fosse un film, si chiamerebbe “Accesso con sorpresa” o qualcosa del genere. Il protagonista è un dipendente come tanti, uno che ogni mattina timbra il cartellino e si collega al sistema informatico dell’azienda con il suo bel nome utente e la sua password. Nulla di strano, fin qui.

Solo che questo dipendente ha avuto un’idea un po’ bislacca: ha usato l’accesso per scopi che col lavoro non c’entravano proprio nulla. Ha preso informazioni riservate – quelle che di solito sono chiuse a chiave in un cassetto virtuale – e le ha usate per minacciare una persona e ottenere un vantaggio. Detto fuori dai denti: ha fatto una specie di “estorsione digitale”.

Ora, uno potrebbe pensare: “Eh, però non ha mica violato il sistema… le credenziali erano sue!”. Già. Ma il punto non è solo come entri, è anche perché. Se ti danno le chiavi di casa per innaffiare le piante e tu ci organizzi un rave party, non è che puoi cavartela dicendo “avevo le chiavi”.

La Corte, infatti, ha detto chiaramente che l’accesso si considera abusivo anche se avviene con credenziali legittime, se serve a fare cose che non dovresti fare. Tradotto: se sfori i limiti delle tue mansioni, o usi quei dati per motivi personali, o peggio ancora per danneggiare qualcuno, stai commettendo un reato. Anche se nessun firewall ti ha detto “Accesso negato”.

E qui casca l’asino – o meglio, qui comincia il vero problema.

Perché tutti, prima o poi, abbiamo accesso a qualcosa: una cartella riservata, una casella email, una piattaforma gestionale. E a volte, senza nemmeno accorgercene, potremmo varcare un confine invisibile. Come quando sei in bici e passi su un marciapiede stretto: magari nessuno ti dice niente, ma stai comunque occupando uno spazio che non ti è concesso.

Ma torniamo al nostro protagonista. Il fatto che avesse le credenziali non lo protegge affatto. Anzi, dimostra che aveva una responsabilità ancora maggiore. È come se un medico usasse la sua posizione per sbirciare le cartelle cliniche dei vicini, o se un professore leggesse le email degli studenti per farsi gli affari loro. C’è un confine tra ciò che puoi fare tecnicamente, e ciò che devi fare eticamente e legalmente.

E allora viene da chiedersi: come si usano, davvero, in modo corretto le credenziali aziendali?

Partiamo da una regola semplice: ogni credenziale è come una carta d’identità, personale e intrasferibile. Se la presti, commetti un errore. Se la usi per curiosare dove non dovresti, pure. E se la perdi o te la rubano, potrebbe iniziare una catena di guai che manco in una telenovela.

Pensaci un attimo: le credenziali sono un po’ come le chiavi del tuo armadietto. Se le lasci incustodite in palestra, chiunque può aprire e leggere i tuoi appunti, prendere i tuoi panini o – peggio – metterti nei guai. Allo stesso modo, se scrivi la tua password su un post-it attaccato al monitor o la condividi in chat con il collega “tanto per comodità”, stai facendo un autogol in piena regola.

Ma non è solo una questione di buon senso. Ci sono regole precise, spesso scritte nei regolamenti aziendali, che dicono cosa puoi fare con i tuoi accessi e cosa no. E non rispettarle può portare a conseguenze serie, come abbiamo visto. Non è solo una faccenda interna, ma anche penale. Sì, hai capito bene: penale. Con tanto di processo, giudici e sentenze.

E allora come si fa a stare sul sicuro?

Intanto, bisogna conoscere i propri limiti. Non nel senso filosofico del “conosci te stesso”, ma in modo molto concreto: sapere esattamente quali dati puoi consultare, quali operazioni ti sono permesse, e quando è il caso di dire “meglio chiedere prima”. Se nel tuo ruolo non rientra la lettura di certe informazioni, anche solo aprirle “per curiosità” può essere considerato abuso. Non è molto diverso dal ficcare il naso nel cassetto di un collega: anche se non prendi nulla, stai comunque invadendo uno spazio non tuo.

Poi c’è la questione della finalità. Ogni accesso deve avere uno scopo coerente con il tuo lavoro. Se scarichi un file per rispondere a un cliente, ok. Se lo fai per usarlo altrove, o peggio ancora per danneggiare qualcuno, scatta l’allarme. È un po’ come usare la fotocopiatrice dell’ufficio: stampare una relazione per il capo va bene; stampare il biglietto del concerto per tutta la classe no. Tecnologicamente possibile, eticamente sbagliato.

Un altro punto basilare riguarda la protezione delle credenziali. Le password devono essere robuste, aggiornate spesso, e custodite come se fossero la password del tuo conto in banca. Anzi, forse meglio. Perché un accesso aziendale non dà solo accesso ai tuoi dati, ma a quelli di molti altri. È come avere la chiave di un condominio, non solo del tuo appartamento.

E non è solo una questione di password. Anche i dispositivi contano: il PC aziendale va protetto con antivirus, aggiornamenti, blocco dello schermo. Lasciarlo incustodito con sessione aperta è come uscire di casa lasciando la porta spalancata e un cartello con scritto “fate pure”. Nessuno dovrebbe farlo, eppure succede più spesso di quanto immaginiamo.

Ma anche l’azienda ha un ruolo decisivo. Deve formare i dipendenti, chiarire cosa si può e non si può fare, predisporre controlli adeguati. Un po’ come un allenatore che deve spiegare le regole del gioco prima di mandare in campo i giocatori. Se nessuno ti dice che toccare il pallone con le mani è fallo, non puoi sapere che stai sbagliando. Ma se te lo dicono, e tu lo fai lo stesso… allora sì che scatta il cartellino rosso.

La cosa interessante è che tutto questo non è teoria. Ogni giorno ci sono episodi, piccoli o grandi, in cui le credenziali vengono usate male: l’impiegato che entra nella cartella HR per leggere le ferie dei colleghi, il tecnico che copia dati per “usarseli poi in un altro posto”, il responsabile che accede a email altrui senza permesso. Magari nessuno se ne accorge subito, ma il rischio c’è sempre.

E il danno non è solo per chi subisce l’invasione. È anche per l’azienda. Perché un accesso abusivo può comportare sanzioni, danni reputazionali, cause civili. Basta una leggerezza per ritrovarsi in un pasticcio che nemmeno il miglior avvocato riesce a districare del tutto.

La sentenza della Cassazione, quindi, non è solo un caso isolato. È un campanello d’allarme. Ci dice, con parole chiare, che avere le credenziali non ti dà carta bianca. Che ogni accesso va valutato, motivato, tracciato. E che la fiducia riposta in te non è un lasciapassare, ma una responsabilità.

E forse, proprio da qui possiamo partire per cambiare l’approccio: smettere di vedere username e password come semplici strumenti tecnici, e iniziare a trattarli per quello che sono davvero. Chiavi d’accesso a un mondo digitale dove ogni gesto lascia una traccia, e dove le conseguenze, a volte, possono essere molto più reali di quanto pensiamo.

--> QUALE PERICOLI CORRE LA TUA AZIENDA?
Scoprilo con un semplice e veloce test, in piena autonomia, il livello di adeguamento alla privacy della tua azienda:

Fai il test

Related Posts

Socio Ordinario

Associazione Informatici Professionisti.

Delegato prov. di Lodi

Federprivacy logo

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013.

Certificazione

TUV certificato CDP

Privacy Officer e Consulente della Privacy certificato. Schema CDP sviluppato in accordo alla ISO/IEC 17024:2012
Consulente in sicurezza dei dati ISO/IEC 27001 - ISO/IEC 27701

- I miei libri
- Richiedi contatto
- Newsletter
created 2025-07-17-08-32-42