/ Ottimizzare i propri strumenti tecnologici / Centralizzazione dei Log: perché in caso di attacco i log locali non ti salveranno?
Pubblicato il Marzo 11, 2024

I log locali sono la prima vittima di un attacco riuscito, un’illusione di sicurezza che rende impossibile qualsiasi analisi forense e distrugge ogni prova.

  • La centralizzazione esterna non è una best practice, ma l’unica via per garantire l’inalterabilità dei log, requisito fondamentale per la compliance e le indagini.
  • Il contesto normativo italiano (Garante Privacy, AGID, Statuto dei Lavoratori) impone obblighi di conservazione e trattamento specifici e severi, ignorati a proprio rischio.

Raccomandazione: Smetti di pensare alla raccolta dei log e inizia a costruire una “scatola nera digitale” a prova di manomissione per trasformare i dati volatili in prove certe.

Sei un sistemista. È lunedì mattina. Qualcosa non va. Il sito è offline, i servizi non rispondono. Il cuore inizia a battere più forte. Ti colleghi al server principale, digiti `history` e noti comandi sospetti. L’istinto ti porta a verificare i log di autenticazione: `cat /var/log/auth.log`. La risposta del terminale è un pugno nello stomaco: `cat: /var/log/auth.log: No such file or directory`. Panico. L’attaccante non solo è entrato, ma ha anche cancellato le sue tracce. I log, la tua unica speranza di capire cosa sia successo, dove, e come, sono svaniti. In questo momento, la dura realtà si palesa: i log conservati sulla stessa macchina che dovrebbero monitorare non sono una misura di sicurezza, sono solo un’illusione.

L’approccio comune di affidarsi a `logrotate` o a backup periodici sullo stesso server è fondamentalmente errato. Si tratta di gestire un archivio, non di costruire una prova. La vera domanda non è “sto raccogliendo i log?”, ma “i miei log sopravviverebbero all’incidente che dovrebbero registrare?”. Se la risposta è no, allora non stai facendo log management, stai solo riempiendo il disco di file di testo destinati a scomparire nel momento più critico. Questo fallimento non è solo tecnico, ma strategico, operativo e, soprattutto in Italia, legale.

Questo articolo non ti mostrerà l’ennesimo tutorial su come installare un server Syslog. Ti guiderà invece attraverso un cambio di paradigma: smettere di considerare i log come una memoria volatile e iniziare a trattarli come una scatola nera digitale inalterabile. Analizzeremo perché la centralizzazione non è un’opzione ma l’unica garanzia di creare una catena di custodia probatoria, esploreremo gli specifici e spesso sottovalutati obblighi normativi italiani e definiremo le strategie pratiche per trasformare i tuoi log da potenziale vittima a testimone chiave della tua prossima analisi forense.

In questo percorso, analizzeremo in dettaglio gli aspetti tecnici, normativi e strategici per costruire un sistema di log management che non solo resista a un attacco, ma che fornisca le prove necessarie per rispondere, rimediare e, soprattutto, dimostrare la conformità. Esploriamo insieme come trasformare i log in un vero asset strategico per la sicurezza.

Sommario: La costruzione della tua scatola nera digitale a prova di manomissione

Syslog UDP vs TCP: perché perdere pacchetti di log per strada è un rischio per la compliance

La scelta del protocollo di trasporto per i log non è un mero dettaglio tecnico, ma il fondamento della loro integrità e del loro valore probatorio. Usare Syslog su UDP (User Datagram Protocol) è l’equivalente di spedire contanti in una busta non tracciata: potrebbe arrivare, ma non hai alcuna garanzia. UDP è un protocollo “fire and forget”, non prevede meccanismi di conferma di ricezione (acknowledgment). In caso di congestione di rete o di un semplice riavvio del server centrale, i pacchetti di log vengono persi per sempre, senza lasciare traccia della loro esistenza. Questa perdita non è un’eventualità rara, ma una certezza statistica in qualsiasi rete mediamente complessa.

Al contrario, TCP (Transmission Control Protocol) stabilisce una connessione affidabile e orientata alla sessione. Ogni pacchetto inviato deve essere confermato dal ricevente. Se un pacchetto non arriva, viene ritrasmesso. Questo meccanismo garantisce la consegna completa e ordinata dei log, creando una catena di custodia digitale integra fin dall’origine. Dal punto di vista della compliance GDPR, questo fa tutta la differenza. Il principio di “integrità e riservatezza” (Art. 5) impone di proteggere i dati da perdite e distruzioni accidentali. Un sistema basato su UDP è intrinsecamente non conforme a questo principio.

La questione è così critica che il Garante per la protezione dei dati personali ha già agito. In un caso emblematico, una società italiana è stata sanzionata proprio perché i log della posta elettronica, conservati tramite UDP, risultavano incompleti. L’Autorità ha stabilito che la perdita di pacchetti rendeva impossibile la ricostruzione degli eventi, violando i requisiti di completezza e inalterabilità richiesti per i log degli amministratori di sistema. La scelta di UDP si è trasformata da decisione tecnica a costosa violazione legale. Utilizzare TCP, possibilmente cifrato con TLS, non è quindi una “best practice”, ma un requisito implicito per chiunque tratti dati personali e debba dimostrare di aver adottato misure tecniche adeguate.

SIEM per PMI: come avere visibilità sugli eventi critici senza spendere una fortuna in licenze

Una volta garantito che i log arrivino a destinazione in modo affidabile, la sfida successiva è trasformare questo fiume di dati grezzi in intelligenza azionabile. È qui che entra in gioco un sistema SIEM (Security Information and Event Management), il cervello analitico della nostra scatola nera digitale. Un SIEM non si limita a raccogliere log da fonti diverse (server, firewall, applicazioni), ma li normalizza, li correla e rileva pattern anomali che potrebbero indicare un attacco in corso. Tuttavia, per molte Piccole e Medie Imprese (PMI) italiane, la parola “SIEM” è sinonimo di costi proibitivi e complessità insormontabile.

L’immagine di costose licenze enterprise e team di analisti dedicati è un forte deterrente, ma il mercato offre oggi alternative accessibili che democratizzano la visibilità sulla sicurezza. Le tre principali strade percorribili sono:

  • SIEM Enterprise (on-premise): Soluzioni come Splunk o IBM QRadar offrono funzionalità potentissime, ma richiedono un investimento iniziale e continuativo significativo, sia in termini di licenze che di personale specializzato per la gestione. Sono spesso sovradimensionate per le esigenze di una PMI.
  • SIEM as a Service (SaaS): Piattaforme cloud che offrono le funzionalità di un SIEM con un modello a canone. Questo approccio riduce drasticamente l’investimento iniziale e la complessità di gestione, rendendolo un’opzione molto interessante per le PMI che non dispongono di un team di sicurezza dedicato.
  • Soluzioni Open Source: Progetti come Wazuh o lo stack ELK (Elasticsearch, Logstash, Kibana) offrono strumenti estremamente potenti a costo di licenza zero. L’investimento si sposta sulla formazione interna e sul tempo necessario per la configurazione e la manutenzione. Rappresentano un compromesso eccellente per le PMI con competenze tecniche interne.

La scelta dipende da un’attenta valutazione del Total Cost of Ownership (TCO), che deve includere non solo le licenze, ma anche i costi di hardware, formazione e personale. Per una PMI, un approccio open source ben configurato o una soluzione “as a Service” rappresentano spesso il punto di equilibrio ideale tra costi, funzionalità e risorse interne necessarie.

Questo confronto evidenzia come il costo non sia più una barriera insormontabile. La tabella seguente, basata su stime di mercato per il contesto italiano, illustra il Total Cost of Ownership (TCO) indicativo per le diverse opzioni.

Confronto TCO soluzioni SIEM per PMI italiane (2024)
Soluzione Costo anno 1 Costo 3 anni Formazione richiesta Risorse IT necessarie
SIEM Enterprise (on-premise) €50.000-100.000 €200.000+ 40 ore specializzate 2 FTE dedicati
SIEM as a Service €15.000-30.000 €60.000-90.000 16 ore base 0.5 FTE
Open Source (Wazuh/ELK) €5.000-10.000 €20.000-30.000 80 ore autodidatta 1 FTE competente
Dashboard di monitoraggio SIEM open source con grafici e metriche di sicurezza in tempo reale

Dotarsi di una visione centralizzata e intelligente degli eventi di sicurezza non è più un lusso per grandi aziende, ma una possibilità concreta anche per le realtà più piccole, a patto di scegliere la soluzione più adatta al proprio contesto specifico.

Data Retention: per quanto tempo devi tenere i log degli amministratori di sistema secondo il Garante?

La regola fondamentale, stabilita dal Provvedimento del Garante Privacy del 27 novembre 2008, è chiara: i log relativi agli accessi degli amministratori di sistema (noti come “access log”) devono essere conservati per un periodo non inferiore a sei mesi. Questa non è una raccomandazione, ma un obbligo preciso, la cui violazione comporta sanzioni. L’obiettivo è garantire la piena tracciabilità delle operazioni “critiche” effettuate sui sistemi informatici che trattano dati personali.

È cruciale capire che questo periodo di sei mesi rappresenta un minimo legale inderogabile per una specifica categoria di log. Non significa che tutti i log debbano essere conservati per sei mesi. Anzi, il principio di “limitazione della conservazione” del GDPR (Art. 5) impone di non conservare i dati più a lungo del necessario per le finalità per cui sono stati raccolti. È quindi necessario definire una policy di data retention granulare, che distingua tra:

  • Log degli Amministratori di Sistema: Minimo 6 mesi, come da Provvedimento. Devono essere completi, inalterabili e verificabili.
  • Log di Traffico Telefonico/Telematico: Qui la situazione italiana è complessa e anomala. In certi contesti, specialmente per obblighi di giustizia, la conservazione può arrivare a periodi molto più lunghi, ma questo esula dal contesto del log management per la sicurezza aziendale quotidiana.
  • Altri Log Operativi/Applicativi: Il periodo di conservazione deve essere definito in base a un’analisi dei rischi e delle finalità (es. troubleshooting, analisi delle performance). Conservarli “per sempre” è una violazione del GDPR.

L’inalterabilità è un altro pilastro. I log devono essere protetti da modifiche e cancellazioni, anche da parte degli stessi amministratori. Tecnologie come i supporti WORM (Write Once, Read Many) o l’apposizione di una marca temporale qualificata (timestamping eIDAS) sono le misure tecniche adeguate per soddisfare questo requisito e costruire una vera catena di custodia probatoria. Non basta conservare i log, bisogna poter dimostrare che non sono stati alterati dal momento della loro creazione.

Piano d’azione per la conformità: la tua checklist per la retention dei log

  1. Inventario dei log: Mappa tutte le fonti di log (server, firewall, app) e classifica ogni tipologia (amministratore, applicativo, sicurezza).
  2. Definizione delle policy: Per ogni tipologia di log, definisci e documenta un periodo di retention specifico, giustificandolo in base alle finalità (compliance, sicurezza, troubleshooting).
  3. Implementazione tecnica: Configura il tuo sistema di log management per applicare automaticamente le policy di retention e garantire l’archiviazione su supporti che assicurino l’inalterabilità (WORM o equivalenti).
  4. Timestamping qualificato: Implementa meccanismi di marcatura temporale (es. eIDAS) per certificare data e ora di creazione del log, rendendolo opponibile a terzi.
  5. Verifica e audit: Pianifica verifiche periodiche per assicurarti che la configurazione sia corretta e che i log siano integri, completi e accessibili per tutto il periodo di conservazione richiesto.

Parsing dei log: come rendere leggibili e confrontabili i log di Windows e quelli del Firewall Linux

Raccogliere log da decine di fonti diverse è solo il primo passo. Senza un processo di parsing e normalizzazione, la tua scatola nera digitale è solo un magazzino disordinato di testi incomprensibili. Ogni sistema, ogni applicazione, parla una lingua diversa: un log di accesso di Windows ha un formato completamente differente da una regola bloccata da un firewall iptables su Linux o da un errore di un’applicazione Java. Cercare di correlare manualmente questi eventi è come cercare di capire una conversazione in cui ognuno parla un dialetto diverso.

Il parsing è il processo con cui il sistema SIEM “legge” il log grezzo, ne comprende la struttura (data, ora, sorgente, utente, azione, etc.) e lo scompone in campi strutturati e standardizzati. Questa trasformazione da testo non strutturato a dato strutturato è chiamata normalizzazione. Una volta normalizzati, tutti i log, indipendentemente dalla loro origine, parlano la stessa lingua. Un tentativo di login fallito è un “evento di autenticazione fallita”, sia che provenga da un server Windows, da un’app web o da una connessione SSH a un server Linux.

Questa uniformità è la chiave per la correlazione avanzata. Solo quando i dati sono normalizzati un sistema SIEM può applicare regole per identificare catene di eventi sospetti che attraversano più sistemi. Ad esempio, un’analisi può rivelare uno scenario di attacco laterale come questo: “Un attaccante esegue un attacco di tipo brute force contro il sistema IAM (registrato dal firewall), seguito da un login riuscito (registrato dal server di autenticazione), poi accede alla console di amministrazione (registrato dall’applicazione), crea un nuovo utente con privilegi elevati (registrato dal Domain Controller Windows) e infine inizia una scansione delle porte interne per identificare altre risorse sensibili (registrato dal firewall Linux).
Individualmente, questi eventi potrebbero passare inosservati. È solo la loro correlazione, resa possibile dal parsing e dalla normalizzazione, a rivelare il quadro completo dell’attacco in tempo reale.

Flusso di trasformazione dei log grezzi in dati strutturati attraverso sistema di parsing

Senza questo processo, i tuoi log rimangono silos di informazione isolati e di scarso valore pratico. Il parsing non è un abbellimento, ma il processo che trasforma il rumore in segnale, permettendo di passare da un’analisi reattiva post-mortem a una rilevazione proattiva delle minacce.

Alert Fatigue: come evitare di ricevere 500 email di notifica al giorno e ignorare quella importante

Avere un sistema SIEM potente e ben configurato può portare a un paradosso pericoloso: l’Alert Fatigue, ovvero la stanchezza da allarmi. Quando un sistema genera centinaia o migliaia di notifiche al giorno, la maggior parte delle quali sono falsi positivi o eventi a bassa priorità, la capacità umana di distinguere il segnale dal rumore crolla. Gli analisti diventano desensibilizzati e iniziano a ignorare le notifiche, correndo il rischio concreto di trascurare proprio quella che segnala un attacco reale. È l’equivalente digitale della favola “Al lupo! Al lupo!”.

Questo fenomeno ha un impatto devastante sull’efficacia dei Security Operations Center (SOC). Secondo diverse analisi di settore, l’eccesso di avvisi generati dalle piattaforme SIEM sovraccarica i team e può portare a un affaticamento che riduce l’efficacia del rilevamento fino al 70%. La soluzione non è ridurre la sensibilità del sistema, ma renderlo più intelligente, contestualizzando e prioritizzando gli alert in base al reale rischio per il business.

Per combattere l’Alert Fatigue, è indispensabile implementare una matrice di priorità degli alert. Non tutti gli eventi sono uguali. Un tentativo di login fallito è diverso da un rilevamento di ransomware su un file server critico. La matrice deve definire chiaramente:

  • Livelli di criticità (es. P1-Critico, P2-Alto, P3-Medio, P4-Basso): Classificazione basata sull’impatto potenziale dell’evento.
  • Canali di notifica: Un alert P1 potrebbe richiedere una telefonata automatica e una notifica push, mentre un P4 può essere incluso in un report settimanale via email.
  • Tempi di risposta (SLA): Definire entro quanto tempo ogni tipo di alert deve essere preso in carico e risolto.

Una matrice ben costruita, come quella esemplificata nella tabella seguente, permette di focalizzare l’attenzione del team di sicurezza solo su ciò che conta davvero, trasformando il SIEM da una fonte di rumore a un prezioso strumento di decisione strategica.

Matrice di priorità alert per contesto aziendale italiano
Livello Alert Tipo Evento Canale Notifica Tempo Risposta Esempio PMI italiana
P1 Critico Ransomware detection Push + Chiamata automatica <5 minuti Cifratura file su server contabilità
P2 Alto Login admin anomalo Slack/Teams + SMS <30 minuti Accesso root fuori orario
P3 Medio Patch mancanti Email digest <24 ore Server web senza aggiornamenti
P4 Basso Utilizzo CPU elevato Report settimanale <7 giorni Performance degradate non critiche

L’errore sui tempi di conservazione dei log che costa caro ai fornitori PA

Lavorare con la Pubblica Amministrazione (PA) italiana impone un livello di conformità normativo ancora più stringente, specialmente per quanto riguarda la conservazione dei dati. Un errore comune tra i fornitori di servizi IT è applicare le regole generali di data retention (come i 6 mesi per i log degli amministratori) senza considerare le clausole specifiche dei contratti pubblici e le leggi speciali che li governano. Questo errore può avere conseguenze economiche devastanti.

La Legge 167/2017 ha introdotto obblighi di conservazione dei dati di traffico telematico e telefonico molto estesi, con periodi che possono arrivare fino a 6 anni (72 mesi) per finalità di accertamento e repressione di reati gravi. Sebbene questo obbligo riguardi principalmente gli operatori di telecomunicazioni, i suoi principi si riflettono spesso nei capitolati di gara della PA, che richiedono ai loro fornitori IT di garantire capacità di conservazione e tracciabilità a lungo termine, ben oltre i 6 mesi standard. Ignorare questa richiesta contrattuale è considerato un grave inadempimento.

Le conseguenze non sono solo teoriche. Secondo le clausole standard definite dall’Agenzia per l’Italia Digitale (AGID) e incluse in molte gare pubbliche, il mancato rispetto degli obblighi di log management e data retention può portare all’applicazione di pesanti penali contrattuali. Come indicato nelle clausole standard delle gare pubbliche AGID, queste penali possono arrivare fino al 10% del valore totale del contratto. Per un appalto di medie dimensioni, si tratta di decine o centinaia di migliaia di euro persi a causa di una configurazione di log management inadeguata.

Per un fornitore della PA, quindi, la scatola nera digitale non è solo uno strumento di sicurezza, ma un requisito contrattuale e uno scudo contro rischi finanziari enormi. È indispensabile analizzare con la massima attenzione ogni capitolato di gara, identificare i requisiti specifici di data retention e configurare il sistema di log management per soddisfarli e, soprattutto, per poterli dimostrare in caso di audit o ispezione.

Come notificare il Data Breach al Garante ed ai clienti senza distruggere la reputazione

Nel momento in cui si subisce un data breach, la qualità del sistema di log management centralizzato passa da essere un asset tecnico a diventare il principale strumento di crisis management e comunicazione. La differenza tra avere log completi e inalterabili e non averli è la stessa che passa tra una comunicazione trasparente e controllata e un disastro reputazionale. Il GDPR impone di notificare una violazione al Garante entro 72 ore e, se il rischio per gli interessati è elevato, di comunicarla anche a loro. Il “come” si effettua questa comunicazione è determinato dai log.

Consideriamo due scenari di notifica dopo un attacco:

  • CON LOG DETTAGLIATI:In data 15 gennaio, tra le ore 14:32 e le 15:18, un accesso non autorizzato ha interessato 342 account utente. L’incidente, immediatamente rilevato e bloccato dal nostro sistema SIEM, ha potenzialmente esposto solo i dati anagrafici (nome, cognome, email). I dati sensibili o di pagamento non sono stati coinvolti. Abbiamo già forzato il reset della password per gli account interessati e stiamo collaborando con le autorità.
  • SENZA LOG DETTAGLIATI:Abbiamo recentemente scoperto un’attività sospetta sui nostri sistemi. Potrebbero essere stati compromessi dati di un numero imprecisato di utenti in un periodo di tempo incerto. Non siamo in grado di determinare quali dati specifici siano stati esposti. A titolo precauzionale, consigliamo a tutti gli utenti di cambiare la propria password.

La prima comunicazione ispira fiducia, dimostra controllo e limita il panico. La seconda è una dichiarazione di impotenza che distrugge la reputazione, genera massima incertezza e apre la porta a sanzioni più severe. La mancanza di informazioni precise è essa stessa una violazione. Il caso di Deliveroo Italy, sanzionata dal Garante per aver fornito un’informativa sulla privacy troppo generica riguardo ai tempi di conservazione, dimostra quanto l’Autorità apprezzi la specificità. L’uso di formule vaghe come “non conserveremo i dati più a lungo del necessario” è stato giudicato una violazione del principio di trasparenza del GDPR. Lo stesso principio si applica, a maggior ragione, alla comunicazione di un data breach.

Una “scatola nera” funzionante non serve solo a capire cosa è successo, ma a comunicarlo in modo credibile, mitigando i danni reputazionali e dimostrando al Garante e ai clienti di aver agito con la massima diligenza possibile, anche nel mezzo di una crisi.

Da ricordare

  • La centralizzazione dei log non è un’opzione, ma l’unica garanzia di inalterabilità forense in caso di attacco.
  • La normativa italiana (Garante, PA, Statuto dei Lavoratori) impone obblighi di conservazione e trattamento specifici e severi che non possono essere ignorati.
  • Senza parsing, normalizzazione e correlazione, un sistema di log management rimane un archivio di rumore di fondo, inefficace per la rilevazione delle minacce.

DPI e Privacy dei dipendenti: fino a che punto puoi ispezionare le email aziendali legalmente?

La costruzione di una “scatola nera” digitale, per quanto potente, incontra un limite invalicabile: la privacy dei lavoratori. La raccolta e l’analisi dei log, specialmente quelli relativi alle comunicazioni come le email, possono facilmente sconfinare in un controllo a distanza dell’attività dei dipendenti, una pratica severamente regolamentata in Italia. La sfida è bilanciare le legittime esigenze di sicurezza aziendale con il rispetto dei diritti fondamentali dei lavoratori.

Il punto di riferimento normativo è l’articolo 4 dello Statuto dei Lavoratori (Legge 300/1970), che vieta l’uso di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori. Sebbene la norma preveda eccezioni per esigenze organizzative, produttive o di sicurezza, l’installazione di tali strumenti richiede un accordo sindacale o, in sua assenza, un’autorizzazione da parte dell’Ispettorato del Lavoro. Un sistema di log management che traccia sistematicamente l’attività degli utenti rientra a pieno titolo in questa categoria.

Come sottolineato da numerosi esperti legali, la linea di demarcazione è sottile ma chiara. Lo Studio Legale Unolegal, in un’analisi sulla conformità del log management, avverte:

I Log, se usati non correttamente, possono fungere da mezzo di controllo dell’operato del lavoratore, assolutamente vietato dall’art. 4 della L 300/1970 (Statuto dei Lavoratori). Il tracciamento deve avvenire nel pieno rispetto delle disposizioni a protezione dei dati personali dei lavoratori.

– Studio Legale Unolegal, Analisi conformità log management e diritto del lavoro

In pratica, questo significa che è possibile registrare i metadati delle comunicazioni (mittente, destinatario, oggetto, timestamp, dimensione allegati) per finalità di sicurezza, ma è quasi sempre illecito ispezionare il contenuto dei messaggi. La conservazione stessa dei metadati deve essere proporzionata e limitata nel tempo. Implementare un sistema di Deep Packet Inspection (DPI) per analizzare il contenuto delle email a fini di sicurezza senza un accordo sindacale o un’autorizzazione espone l’azienda a rischi legali enormi, sia sul fronte della privacy che del diritto del lavoro.

Bilancia simbolica tra privacy del dipendente e sicurezza aziendale in ufficio moderno

La sicurezza assoluta non esiste, e non può essere perseguita a discapito dei diritti fondamentali. Un progetto di centralizzazione dei log deve quindi essere sempre accompagnato da un’attenta valutazione legale e dal coinvolgimento delle rappresentanze sindacali per definire regole chiare e trasparenti, garantendo che la “scatola nera” registri le minacce alla sicurezza, non la vita privata dei dipendenti.

Domande frequenti sul controllo email dipendenti

Posso leggere il contenuto delle email dei dipendenti?

No, di norma il contenuto delle email è considerato corrispondenza privata e protetto costituzionalmente. Il periodo di conservazione dei metadati deve essere proporzionato al tempo strettamente necessario per le finalità di sicurezza (es. rilevamento di malware o data exfiltration), non per finalità di controllo sul lavoratore. Qualsiasi accesso al contenuto è ammissibile solo in casi eccezionali e previsti da una policy aziendale molto restrittiva e conforme alla legge.

Quali metadati posso registrare legalmente?

È generalmente consentito registrare i metadati necessari a garantire la sicurezza della rete e prevenire incidenti. Questi includono tipicamente: mittente, destinatario, indirizzo IP di origine e destinazione, data e ora di invio/ricezione, oggetto del messaggio e dimensione degli allegati. Il corpo del messaggio e il contenuto degli allegati non devono essere registrati o analizzati sistematicamente.

Serve l’accordo sindacale per il log delle email?

Sì. Qualsiasi sistema che permetta un monitoraggio sistematico e generalizzato dell’attività dei dipendenti, incluso il logging dettagliato del traffico email, è considerato uno strumento di potenziale controllo a distanza. In base all’articolo 4 dello Statuto dei Lavoratori, la sua implementazione richiede un accordo preventivo con le rappresentanze sindacali aziendali (RSA/RSU) o, in mancanza, un’autorizzazione rilasciata dall’Ispettorato Nazionale del Lavoro.

Scritto da Alessandro Conti, Consulente esperto in Cybersecurity e Compliance legale (DPO), specializzato nel settore della Pubblica Amministrazione e delle infrastrutture critiche. Membro attivo di associazioni per la sicurezza informatica e auditor certificato ISO 27001.
Perché una connessione lenta ti costa 2.000 € al mese in produttività persa?
Novità del sito
Manutenzione Storage Enterprise: perché la deframmentazione non serve più (e cosa fare invece)?
Sindrome da burnout del Sysadmin: smetti di spegnere incendi, automatizza la routine e riprenditi la vita
Gestione dispositivi mobili (MDM): come controllare 100 smartphone aziendali senza impazzire?
Come ridurre la bolletta energetica IT del 20% applicando policy di Green IT concrete?
Guida allo smaltimento RAEE aziendali: come evitare le sanzioni del D.Lgs 49/2014
Post simili
Come garantire l’operatività aziendale anche se l’ufficio è inagibile per un incendio?
Come mettere in sicurezza i PC dei dipendenti in smart working senza VPN complesse?
Come ridurre la latenza di rete sotto i 20ms per applicazioni critiche?
Come ridurre i fermi macchina imprevisti del 30% con i dati che hai già?