Nel dibattito sulla sicurezza informatica si è ormai affermata la consapevolezza che strumenti come SIEM, SOC, sistemi EDR, firewall di nuova generazione e piattaforme di monitoraggio centralizzato costituiscono l’ossatura tecnica attraverso cui un’azienda può garantire la propria resilienza. L’adozione di queste tecnologie non è più un’opzione, ma un obbligo imposto dalle normative europee in materia di cybersecurity, in particolare dalla Direttiva NIS2 e dal Regolamento DORA, che richiedono livelli crescenti di sorveglianza, logging, analisi comportamentale e risposta agli incidenti ICT.
L’evoluzione delle minacce informatiche e l’innalzamento degli standard di tutela previsti dalle normative europee – in particolare la Direttiva (UE) 2022/2555 (NIS2) e il Regolamento (UE) 2022/2554 (DORA) – stanno spingendo le aziende verso un’adozione sempre più pervasiva di soluzioni avanzate di sicurezza informatica. Tuttavia, mentre la compliance informatica cresce in complessità e importanza, si registra un fenomeno preoccupante: la sottovalutazione dell’impatto che tali tecnologie hanno sulla disciplina giuslavoristica, in particolare sugli obblighi sanciti dall’art. 4 della Legge 300/1970 (Statuto dei Lavoratori).
Indice degli argomenti
Cybersecurity e art. 4 L. 300/1970: perché la compliance è inseparabile
Analizziamo in chiave tecnico-giuridica come strumenti quali SIEM, SOC, NOC, EDR, firewall di nuova generazione e sistemi di monitoraggio e logging centralizzato ricadano nel perimetro applicativo dell’art. 4 L. 300/70 e come l’adeguamento a NIS2 e DORA renda imprescindibile una gestione corretta di tali adempimenti.
Tuttavia, in questa corsa alla compliance tecnologica si annida un rischio giuridico poco percepito ma di grande rilevanza: l’intreccio con l’articolo 4 della Legge 300/1970, norma cardine dello Statuto dei Lavoratori. La questione non è meramente formale: riguarda la legittimità con cui le tecnologie cyber possono essere implementate e utilizzate in azienda.
Nella maggior parte dei casi, tali strumenti sono introdotti per proteggere l’organizzazione, garantire la continuità operativa e rispondere agli adempimenti normativi. Nondimeno, producono inevitabilmente una mole di dati che possono essere ricondotti, anche indirettamente, all’attività dei dipendenti, determinando così una potenziale idoneità al controllo a distanza.
Il perimetro dell’art. 4: cosa conta davvero nel controllo a distanza
L’art. 4 dello Statuto dei Lavoratori disciplina gli strumenti dai quali possa derivare, anche solo potenzialmente, un’attività di controllo sull’attività del lavoratore. La formulazione attuale – modificata dal D.Lgs. 151/2015 – distingue tra:
- Strumenti utilizzati dal lavoratore per rendere la prestazione (es. PC, smartphone, software, applicativi).
Per questi non è richiesta autorizzazione specifica, ma i dati raccolti sono utilizzabili solo per finalità connesse al rapporto di lavoro, previa adeguata informativa. - Strumenti dai quali derivi anche indirettamente la possibilità di controllo a distanza.
Per questi l’installazione è consentita solo previo: accordo sindacale aziendale o territoriale; oppure autorizzazione dell’Ispettorato Territoriale del Lavoro.
Questo principio, storicamente riferito a telecamere e sistemi di geolocalizzazione, oggi si applica pienamente – spesso senza adeguata consapevolezza – anche alle tecnologie di cybersecurity.
Con l’aumento degli attacchi informatici e la crescente pressione normativa, le aziende implementano strumenti sempre più sofisticati di log analysis, monitoraggio delle reti, alerting, autenticazione avanzata e correlazione eventi. Tali tecnologie – pur progettate per finalità di sicurezza – producono inevitabilmente dati che possono consentire il controllo, anche indiretto e non intenzionale, dell’attività dei lavoratori.
È qui che nasce l’equivoco più frequente: la convinzione che “sicurezza = esenzione dall’art. 4”, quando invece la norma non fa alcuna distinzione sulla finalità dello strumento, ma valuta la potenziale idoneità al controllo.
Ecco dunque che, proprio nelle aziende più avanzate sul piano cyber, si può creare una grave falla di compliance giuslavoristica, con rischio di sanzioni amministrative, inutilizzabilità dei dati raccolti e responsabilità dirette del datore di lavoro.
NIS2 e DORA spingono il monitoraggio: dove nasce l’idoneità al controllo
I moderni sistemi di cybersecurity imposti da NIS2 e DORA operano attraverso architetture capaci di raccogliere, analizzare e correlare informazioni provenienti da ogni livello dell’infrastruttura IT. La loro efficacia si basa su telemetria continua, correlazione dei dati e identificazione dell’account utente: è proprio questa capacità, indispensabile alla difesa, che può rendere lo strumento idoneo al controllo.
SIEM e SOC: logging centralizzato e lettura operativa dei comportamenti
Il SIEM, ad esempio, funziona come un collettore centralizzato che riceve flussi di log generati da endpoint, server, firewall, directory service, piattaforme cloud e applicativi. Questi log includono automaticamente eventi che descrivono l’interazione dell’utente con l’ambiente digitale: tentativi di autenticazione, esecuzione di processi, modifiche ai file, utilizzo di applicativi, connessioni di rete, accessi VPN, orari e modalità di attività.
Tramite motori di correlazione, il SIEM aggrega questi dati, riconducendoli a un determinato account o dispositivo. Ne deriva che, pur essendo progettato per finalità di sicurezza, il sistema produce una rappresentazione estremamente precisa del comportamento digitale del lavoratore. È questa capacità descrittiva, non la finalità, a collocare il SIEM nella sfera applicativa dell’art. 4, che guarda alla potenziale idoneità al controllo.
Il SOC rappresenta il livello operativo di tale architettura: analisti umani monitorano console che restituiscono in tempo reale gli eventi raccolti dal SIEM, evidenziando anomalie, attività sospette, deviazioni comportamentali e alert generati dagli strumenti di detection. Se un dipendente accede a un servizio fuori orario, effettua operazioni atipiche o genera un comportamento ritenuto anomalo, il SOC lo visualizza attraverso dashboard che rendono immediatamente identificabile l’utente coinvolto.
EDR/XDR: telemetria sugli endpoint e ricostruzione minuto per minuto
I sistemi EDR e XDR operano in modo ancora più profondo. Installati su ogni endpoint, monitorano ciò che accade all’interno del dispositivo in modo continuo: quali processi vengono avviati, quali applicazioni vengono aperte, quali file vengono modificati, quali script vengono eseguiti, quali connessioni di rete vengono instaurate.
L’EDR crea una vera e propria telemetria comportamentale dell’utente, includendo timeline dettagliate delle azioni svolte. Questa granularità, indispensabile per rilevare malware sofisticati o movimenti laterali, si traduce però in una capacità intrinseca di ricostruire la prestazione lavorativa minuto per minuto.
È questa profondità osservativa, unita alla riconducibilità dei dati all’utente loggato, a far ricadere l’EDR nel perimetro dell’art. 4, poiché la “sorveglianza digitale” è tecnicamente possibile anche quando non intenzionale.
NGFW e IDS/IPS: traffico applicativo, user mapping e tracciabilità delle attività
I firewall di nuova generazione e i sistemi IDS/IPS analizzano il traffico di rete a livello applicativo, identificando l’utente responsabile delle connessioni grazie a meccanismi di identity-based routing, integrazione SSO o user mapping. Un firewall può dunque sapere quali siti visita un utente, quali applicazioni cloud utilizza, quali file trasferisce o quali protocolli attiva.
I sistemi IDS/IPS, che rilevano tentativi di intrusione, comportamento anomalo o comunicazioni sospette, producono log che riportano indirizzi IP, account utente e timestamp direttamente riconducibili al lavoratore. Anche questi strumenti, pur dedicati alla protezione perimetrale, incorporano la capacità di osservare attività umane e rientrano nell’ambito dell’art. 4.
L’aspetto tecnico decisivo è che tutte queste tecnologie operano secondo principi di identificazione dell’account, correlazione e contestualizzazione: l’analisi del rischio informatico richiede di associare eventi tecnici a soggetti identificabili. Ma questa stessa caratteristica, nel sistema giuridico italiano, determina l’applicabilità della disciplina dei controlli a distanza.
Finalità di sicurezza e art. 4: l’equivoco che espone l’azienda
Un errore ricorrente nelle aziende è ritenere che gli strumenti di sicurezza siano automaticamente esclusi dalla disciplina dell’art. 4 perché finalizzati alla difesa dell’organizzazione. Questa interpretazione è giuridicamente errata: la finalità non rileva; conta la potenziale idoneità dello strumento a controllare l’attività lavorativa.
Il Ministero del Lavoro, l’Autorità Garante per la protezione dei dati personali e la giurisprudenza sono chiari: anche tecnologie introdotte esclusivamente per sicurezza o ottimizzazione dei processi sono soggette all’art. 4 se producono informazioni aggregabili ai comportamenti dei dipendenti.
L’accordo sindacale o l’autorizzazione ITL devono essere ottenuti prima dell’attivazione dello strumento e non possono essere regolarizzazioni successive.
Dalla mappatura all’accordo: linee guida operative per aziende e professionisti
Il primo passo operativo consiste in una mappatura dettagliata delle tecnologie che raccolgono o generano dati riferibili agli utenti, distinguendo tra strumenti di sicurezza “attivi” (come EDR/XDR, sistemi di threat detection o firewall di nuova generazione) e strumenti “passivi” (come log server o sistemi SIEM che aggregano e storicizzano informazioni tecniche).
In questa fase non è sufficiente un inventario tecnico: occorre analizzare, per ciascuna tecnologia, quali tipi di dati vengono raccolti (timestamp di accesso, comandi eseguiti, contenuto dei log applicativi, eventi di rete, operazioni sui file), con quale frequenza, per quanto tempo vengono conservati e con quale livello di dettaglio sono riconducibili all’utente.
A questa mappatura deve seguire una valutazione del rischio di controllo indiretto, ossia un’analisi del modo in cui il sistema, nella sua configurazione operativa, potrebbe permettere – anche solo potenzialmente – di monitorare la prestazione del dipendente. È una valutazione tecnico-giuridica che richiede collaborazione tra IT, legale e HR.
Completata l’analisi, occorre predisporre un regolamento interno di utilizzo degli strumenti informatici e dei sistemi di sicurezza, nel quale siano descritte in modo dettagliato le finalità, le modalità di funzionamento, le misure adottate per limitare la possibilità di controllo e le responsabilità dei soggetti autorizzati alla gestione e consultazione dei dati.
Il regolamento deve chiarire che l’utilizzo dei dati raccolti è consentito solo per finalità legate alla sicurezza informatica, alla protezione del patrimonio aziendale e alla gestione degli incidenti, escludendo esplicitamente finalità di controllo della prestazione, salvo i casi previsti dalla legge.
In parallelo, deve essere fornita ai lavoratori un’informativa specifica e dettagliata, che indichi quali dati vengono raccolti dagli strumenti cyber, per quali finalità, per quanto tempo vengono conservati, chi può accedervi e quali diritti possono essere esercitati. L’informativa non può essere generica: deve spiegare chiaramente cosa un SIEM registra, cosa un EDR monitora, cosa un firewall attribuisce all’utente.
Infine, prima di attivare tali tecnologie, l’azienda deve compiere il passaggio più critico: ottenere l’accordo sindacale o richiedere l’autorizzazione all’Ispettorato Territoriale del Lavoro, come previsto dall’art. 4 L. 300/70, ogniqualvolta lo strumento sia idoneo – anche indirettamente – al controllo della prestazione.
Questo adempimento non è facoltativo né aggirabile attraverso clausole interne: è un obbligo giuridico che garantisce la piena legittimità delle tecnologie adottate e tutela l’azienda da contestazioni che, in caso di ispezione, possono avere conseguenze rilevanti sia sul piano sanzionatorio sia sull’utilizzabilità probatoria dei dati.
Compliance integrata: perché NIS2 e DORA non bastano senza art. 4
Un’impresa conforme alle nuove normative europee ma non all’art. 4 non è, in realtà, conforme: è un’organizzazione che opera in regime di rischio giuridico elevato, perché mette in produzione strumenti tecnici potenti senza aver adeguato la struttura regolamentare e autorizzativa richiesta dal sistema italiano.
Per questo motivo, nella realtà normativa del nostro Paese, compliance cyber e compliance lavoristica rappresentano due dimensioni inseparabili della stessa governance. L’efficacia dell’una dipende dalla solidità dell’altra, e solo un approccio integrato consente di costruire un modello di sicurezza sostenibile ed efficace, anche sotto il profilo giuridico.
Tabella operativa di raccordo tra NIS2, DORA, GDPR e art. 4 L. 300/70
| Attività richiesta | Contenuto operativo | Normativa di riferimento | Motivo tecnico-giuridico |
|---|---|---|---|
| 1. Mappatura delle tecnologie di sicurezza che raccolgono dati sugli utenti | Identificazione di SIEM, SOC, log server, EDR/XDR, NGFW, IDS/IPS, sistemi di monitoraggio, strumenti IAM, piattaforme cloud con telemetria. | NIS2 (Art. 21), DORA (Art. 8-10), GDPR (Art. 5, 25), Art. 4 L.300/70 | Necessario per capire quali strumenti generano dati idonei a identificare e tracciare attività dei lavoratori; prerequisito per valutare ricadute privacy e giuslavoristiche. |
| 2. Valutazione del rischio di “controllo indiretto” | Analisi dei log raccolti, granularità, modalità di identificazione dell’utente, possibilità di ricostruire operazioni e prestazione. | Art. 4 L.300/70, GDPR (Art. 24, 35), NIS2 (Art. 21) | Gli strumenti cyber registrano accessi, attività, errori, comandi, orari: anche se per sicurezza, sono tecnicamente idonei al controllo. |
| 3. Regolamento interno su strumenti informatici e sicurezza | Definizione di finalità, limiti d’uso, ruoli autorizzati, minimizzazione e procedure di accesso ai log. | GDPR (Art. 5, 13-14, 24), Art. 4 L.300/70, NIS2 e DORA | Stabilisce cornice di legittimità e trasparenza sul trattamento dei dati generati dagli strumenti di sicurezza. |
| 4. Informativa ai lavoratori | Comunicazione trasparente su dati raccolti da SIEM/EDR/Firewall, finalità, accessi e tempi di conservazione. | GDPR (Art. 12-14), Art. 4 L.300/70 (comma 3), Linee guida EDPB su workplace | Obbligo di trasparenza: i log sono dati personali e spesso altamente invasivi. |
| 5. Accordo sindacale o autorizzazione ITL | Procedura di accordo aziendale o domanda formale all’ITL per installazione e uso. | Art. 4 L.300/70 (comma 1), circolari Ministero del Lavoro | I sistemi di sicurezza sono idonei al controllo: senza accordo/autorizzazione sono illegittimi. |
| 6. Responsabilità interne (RACI) | Attribuzione responsabilità tra IT, SOC, HR, DPO, direzione, CSIRT interno/esterno. | DORA (Art. 5-7), NIS2 (Art. 21), GDPR (Art. 24) | Serve accountability: chi accede ai log e perché deve essere definito. |
| 7. Procedure di gestione incidenti ICT | Documento su detection, escalation, analisi forense, notifica, risposta, ripristino. | DORA (Art. 17-19), NIS2 (Art. 23), GDPR (Art. 33-34) | Durante gli incidenti si trattano inevitabilmente dati dei lavoratori nell’analisi dei sistemi. |
| 8. Accesso ai log e auditing interno | Regole su chi accede ai log, finalità, controlli e supervisione. | Art. 4 L.300/70, GDPR (Art. 5 e 32), NIS2 | Accessi non controllati ai log possono equivalere a controllo occulto sul dipendente. |
| 9. Minimizzazione e privacy-by-design | Limitazione raccolta dati, anonimizzazione quando possibile, retention breve, segregazione dei log. | GDPR (Art. 5 e 25), DORA e NIS2 | Riduce rischio di controllo improprio e rispetta necessità e minimizzazione. |
| 10. Documentazione del modello | Registro trattamenti, DPIA se necessario, policy interne, evidenze tecniche, report audit. | GDPR, NIS2, DORA | Serve per dimostrare accountability verso autorità ispettive e regolatori. |
In questo contesto, la compliance non può più essere concepita come un insieme di adempimenti distinti: la sicurezza informatica non è separabile dalla protezione dei dati personali, né dalla disciplina del rapporto di lavoro. L’azienda moderna è chiamata a sviluppare un modello di governance integrato, fondato su consapevolezza tecnica, valutazione giuridica accurata e un sistema regolamentare che coniughi resilienza operativa e diritti dei lavoratori.
In definitiva, la vera sfida non consiste nel decidere se adottare soluzioni come SIEM o EDR – oggi indispensabili – ma nel farlo con piena consapevolezza delle implicazioni sistemiche, garantendo trasparenza, legittimità e correttezza nell’intero ciclo di vita dei dati di sicurezza.
Un’azienda realmente resiliente non è soltanto quella che sa difendersi dagli attacchi informatici, ma quella che riesce a farlo entro un quadro normativo solido, chiaro e rispettoso dei diritti dei lavoratori. Qui si gioca la nuova frontiera della cyber-governance: evoluta, responsabile e pienamente conforme al contesto italiano.
