Con l’entrata in vigore della Legge 11 marzo 2026, n. 34, il lavoro agile viene ricondotto ad un sistema di responsabilità chiaro: anche quando la prestazione è svolta al di fuori dei locali aziendali, resta in capo al datore di lavoro l’obbligo di garantire condizioni adeguate, attraverso strumenti organizzativi e informativi idonei.

‍La gestione del rapporto di lavoro in smart working non riguarda quindi solo aspetti organizzativi o contrattuali, ma richiede necessariamente anche l’adozione di misure di sicurezza informatiche, tecniche e organizzative adeguate. Lo smart working, infatti, comporta un trattamento dei dati in contesti non controllati, che deve essere governato attraverso policy precise e strumenti idonei.

Nello specifico, il profilo più critico per le aziende è quello informatico: spostare l’operatività fuori dai sistemi e dagli ambienti controllati significa esporre direttamente i dati e le infrastrutture aziendali a contesti meno sicuri. Se l’accesso ai sistemi avviene senza connessioni protette, ad esempio senza VPN, o da reti domestiche o pubbliche non adeguatamente sicure, il rischio di intercettazione dei dati e di accessi non autorizzati diventa concreto ed immediato.

Lo stesso vale per la gestione delle credenziali: in assenza di autenticazione forte, una semplice compromissione di username e password può consentire a soggetti esterni di entrare nei sistemi aziendali senza ostacoli, con la possibilità di sottrarre, modificare o cancellare dati.

In questi casi, il problema non è solo tecnico ma organizzativo, perché deriva dalla mancanza di misure minime di protezione.

Anche gli strumenti utilizzati incidono in modo diretto sul rischio. Dispositivi non aggiornati, privi di adeguate protezioni o utilizzati in modo promiscuo aumentano l’esposizione a malware e attacchi informatici che possono bloccare l’attività aziendale o compromettere definitivamente le informazioni.

A questo si aggiunge la gestione operativa dei dati: salvataggi locali non protetti, utilizzo di canali non autorizzati o condivisioni non controllate, anche durante normali riunioni online, fanno perdere all’azienda il controllo sul dato.

Il contesto domestico, inoltre, introduce un ulteriore elemento di criticità. Senza regole chiare, è facile che informazioni aziendali siano visibili o accessibili a terzi (amici e conviventi), anche involontariamente, con conseguenze dirette sulla riservatezza.

In questo scenario, i rischi informatici nello smart working non sono eventuali, ma conseguenze dirette della mancata adozione di misure adeguate.

Il rispetto del Regolamento (UE) 2016/679 richiede che le aziende siano in grado di prevenire questi eventi attraverso soluzioni tecniche e organizzative coerenti con le modalità di lavoro adottate. Un attacco informatico, in un contesto non adeguatamente protetto, può determinare un danno molto rilevante per l’azienda: perdita o indisponibilità dei dati, blocco dei sistemi e interruzione dell’attività operativa. In situazioni di questo tipo, la continuità aziendale può essere compromessa, con effetti diretti anche sull’organizzazione del lavoro e sui lavoratori stessi.

‍

Lo smart working, quindi, non può essere gestito come una semplice modalità operativa: senza adeguati presidi e misure di sicurezza, espone l’azienda a rischi concreti e immediati, con impatti che possono estendersi ben oltre l’aspetto informatico.

‍

‍