L’emergenza Covid, che ha di fatto imposto il ricorso allo smart working, ha indotto il il Cert-PA dell’Agenzia per l’Italia Digitale (AgID), ad emanare, sulla base delle misure di sicurezza informatiche per la PA fissate in una circolare del Marzo 2017, le disposizioni minime di sicurezza che le pubbliche amministrazioni dovrebbero adottare per permettere ai loro dipendenti di lavorare da remoto.

Sono solo undici semplici raccomandazioni, una in più dei dieci comandamenti e, in questo momento, sarebbe opportuno seguirle in maniera rigorosa e quanto più possibile senza variazioni o licenze. Opportuno porre in evidenza che le misure indicate vengono definite “minime” e, pertanto, è rimesso al buon senso e alla cura di ogni singolo destinatario su eventuali implementazioni non solo nel pubblico, ma anche nel settore privato, dove potrebbero essere prese a parametro di riferimento anche per valutare responsabilità in caso di data breach.

Ricordiamo che i dipendenti pubblici possono utilizzare propri dispositivi per svolgere la prestazione lavorativa, purché siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni. Ciò varrebbe anche nel privato e, in ogni caso, teniamo semprte presente che il datore di lavoro, Titolare del Trattamento, deve garantire condizioni di sicurezza ottimali per la protezione dati.
Le raccomandazioni sono le seguenti:

1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione.
2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto (Windows 7 è arrivato al cosiddetto fine vita, ad esempio. Microsoft non garantisce più il supporto, quindi tutti gli aggiornamenti di sicurezza e i fix: questo rende questo sistema operativo molto vulnerabile e a rischio). 
3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo.
4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati.
5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione.
6. Non installare software proveniente da fonti/repository non ufficiali.
7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro.
8. Non cliccare su link o allegati contenuti in email sospette.
9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette.
10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione).
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa. 

Come vediamo si tratta di indicazioni decisamente basiche, che rappresentano quel minimo di accortezza da parte di ogni operatore ad una postazione digitale o anche nell’uso del proprio smartphone. Ma il fatto che sia stata ritenuta necessaria la loro emanazione non è certo un bel segnale per gli utenti e quanto accaduto al portale INPS è un altro segnale inquietante.

Ricordiamo poi che ai lavoratori in smart working, le regole generali di condotta nell’esecuzione delle loro attività, imporrebbero una maggiore diligenza e accortezze finalizzate a evitare la perdita di dati, anche in considerazione degli ormai noti aumenti di attacchi informatici. Il dipendente, infatti, è un autorizzato al trattamento dati al di fuori del luogo di lavoro e, pertanto, anche lui è chiamato a porre in essere comportamenti virtuosi che possono essere non solo un costante cambio di password di accesso agli apparati e ai sistemi, ma anche evitare che le reti di accesso siano sicure e evitare, ad esempio, di accedere a cloud pubblici o aziendali, dagli stessi PC destinati ad attività ludiche, navigazione siti non sicuri, social. Ma quanti lavoratori in smart working organizzeranno una autonoma postazione di lavoro con tutti i sistemi di sicurezza e adotteranno le necessarie cautele? Non troppo teoricamente, dovrebbe essere prevista anche una gestione degli orari di lavoro per evitare situazioni non solo di scarsa produttività, ma anche di maggior rischio per i dati: si pensi solo a chi lavora necessariamente vicino ai figli piccoli che non possono andare a scuola.

Si tratta di un contesto su cui riflettere, perché lo smart working, oggi frutto di una situazione di emergenza, potrebbe diventare una situazione stabile per molte realtà non solo nel privato.