/ Navigare nel mondo digitale / DPI e Privacy dei dipendenti: fino a che punto puoi ispezionare le email aziendali legalmente?
Pubblicato il Marzo 15, 2024

La legalità dell’ispezione delle email aziendali non dipende dal *se* controllare, ma da *come* si configura tecnicamente la tecnologia DPI per essere conforme per progettazione.

  • Un controllo sproporzionato (es. ispezione di siti sanitari o decifratura massiva) espone a sanzioni elevate, indipendentemente dalle finalità di sicurezza.
  • La chiave della conformità è la “proporzionalità by design”: configurare gli strumenti per bloccare minacce in modo algoritmico, minimizzando o azzerando l’intervento umano.

Raccomandazione: Sostituire l’approccio del controllo a posteriori con sistemi di Data Loss Prevention (DLP) che impediscano preventivamente la fuga di dati, documentando ogni scelta tecnica nella Valutazione d’Impatto (DPIA).

In qualità di Data Protection Officer o Responsabile Legale, vi trovate a navigare in un campo minato. Da un lato, la crescente sofisticazione delle minacce informatiche impone l’adozione di strumenti di sicurezza avanzati come la Deep Packet Inspection (DPI) per proteggere il perimetro aziendale. Dall’altro, l’articolo 4 dello Statuto dei Lavoratori e il GDPR erigono una barriera a tutela della riservatezza dei dipendenti, rendendo ogni forma di controllo un’attività ad alto rischio legale. Il timore di un’ispezione del Garante per la protezione dei dati personali è una preoccupazione concreta e costante.

La risposta comune a questo dilemma si ferma spesso ai requisiti procedurali di base: fornire un’informativa chiara ai lavoratori e ottenere, ove necessario, un accordo con le rappresentanze sindacali o l’autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL). Sebbene fondamentali, questi adempimenti non sono sufficienti. Essi rappresentano il cancello d’ingresso, non il percorso sicuro. Molte organizzazioni implementano sistemi DPI con configurazioni di default, credendo che l’autorizzazione formale li metta al riparo da contestazioni, senza comprendere la reale portata invasiva dello strumento.

La vera questione, che questo articolo intende dirimere da una prospettiva legale-tecnica, non è se sia lecito utilizzare la DPI, ma *come* renderla lecita. La chiave di volta risiede nel concetto di proporzionalità “by design”. Un sistema è conforme non quando i log vengono analizzati con cautela, ma quando lo strumento stesso è configurato per impedire a monte la raccolta di dati non necessari o eccedenti. L’onere della prova, in caso di contenzioso, ricadrà sulla capacità di dimostrare di aver implementato la misura tecnicamente meno invasiva possibile per raggiungere lo scopo di sicurezza dichiarato.

Questo approfondimento fornirà un’analisi dettagliata delle configurazioni tecniche e delle procedure legali indispensabili per utilizzare sistemi di ispezione del traffico email in modo difendibile. Esploreremo come bloccare le minacce senza violare la privacy, come dimensionare correttamente l’hardware per rispettare il principio di proporzionalità e quali errori critici evitare per non incorrere in pesanti sanzioni. L’obiettivo è fornire al DPO e al legale d’impresa gli strumenti per trasformare un’area di rischio in un presidio di sicurezza gestito e conforme.

Sommario: Guida alla conformità legale e tecnica per l’ispezione del traffico aziendale

DLP via DPI: come bloccare l’invio di file con numeri di carte di credito via email

Il cuore del principio di proporzionalità risiede nella capacità di raggiungere un obiettivo di sicurezza con il minor impatto possibile sulla privacy. In questo contesto, l’uso di sistemi di Deep Packet Inspection (DPI) non per “leggere” ma per “bloccare” rappresenta l’applicazione più corretta del concetto di Data Loss Prevention (DLP). Invece di un approccio basato sul controllo a posteriori dei flussi di dati, che implica la revisione umana e un alto rischio di accesso a informazioni personali, si adotta una strategia di minimizzazione algoritmica.

Tecnicamente, un sistema DPI può essere configurato per analizzare il contenuto (payload) delle email in transito alla ricerca di pattern specifici, come una sequenza di 16 cifre che corrisponde alla struttura di un numero di carta di credito (es. tramite espressioni regolari o “regex”). Se il sistema rileva un tale pattern, non inoltra l’email a un team di sicurezza per la revisione, ma la blocca automaticamente, notificando al mittente la violazione della policy aziendale. Questo approccio è intrinsecamente più rispettoso della privacy: nessun essere umano accede al contenuto dell’email e il controllo è automatizzato e preventivo.

Dal punto di vista legale, questa configurazione è molto più difendibile di fronte a un’ispezione. Nella Valutazione d’Impatto sulla Protezione dei Dati (DPIA), è possibile argomentare che la misura è strettamente necessaria per prevenire la fuoriuscita di dati finanziari (es. conformità PCI-DSS) e che l’impatto sulla privacy dei dipendenti è minimizzato, poiché il sistema agisce come un filtro binario (conforme/non conforme) senza conservare o esporre il contenuto delle comunicazioni lecite. L’automazione del blocco, piuttosto che la segnalazione per una revisione, trasforma lo strumento da sorveglianza a presidio di sicurezza perimetrale.

Perché l’ispezione profonda rallenta la rete del 40% e come dimensionare l’hardware

L’implementazione di una soluzione DPI non è una decisione da prendere alla leggera, né dal punto di vista legale né da quello infrastrutturale. L’analisi in tempo reale di ogni singolo pacchetto di dati che attraversa la rete aziendale richiede un’enorme potenza di calcolo. Quando un sistema DPI è sottodimensionato rispetto al volume di traffico, si verifica un collo di bottiglia che può portare a un degrado delle prestazioni di rete fino al 40%. Questo non è solo un problema operativo, ma si trasforma in un argomento legale contro il datore di lavoro.

Un rallentamento così significativo può essere interpretato come una misura sproporzionata. Se lo strumento introdotto per la sicurezza rende di fatto più difficile per i dipendenti svolgere le proprie mansioni, la sua implementazione potrebbe essere contestata in sede sindacale o legale. Il principio di proporzionalità, infatti, non valuta solo l’invasività del controllo, ma anche il suo impatto complessivo sull’organizzazione del lavoro. Un sistema che ispeziona solo parzialmente il traffico a causa di limiti hardware, fallendo nel suo scopo primario di sicurezza ma introducendo comunque un notevole disagio operativo, è difficilmente giustificabile.

La corretta calibrazione tra la potenza dell’hardware e il volume di traffico è quindi un prerequisito per la conformità. Un sistema correttamente dimensionato garantisce un’ispezione completa con un impatto minimo sulle performance, rendendo la misura efficace e proporzionata. La tabella seguente illustra le differenze cruciali tra un approccio inadeguato e uno corretto, evidenziando come la scelta tecnica influenzi direttamente il profilo di rischio legale.

Confronto tra dimensionamento hardware e principio di proporzionalità
Aspetto Sistema sottodimensionato Sistema correttamente dimensionato
Performance di rete Rallentamento fino al 40% Impatto minimo (<10%)
Efficacia controlli Ispezione parziale Ispezione completa
Conformità GDPR Misura sproporzionata Principio di proporzionalità rispettato
Rischio legale Alto – contestazioni possibili Basso – giustificato nella DPIA

Come identificare il traffico di malware custom che usa porte non standard

Una delle giustificazioni più solide per l’implementazione della Deep Packet Inspection risiede nella sua capacità di identificare minacce che eludono i firewall tradizionali. I firewall “stateful” classici si limitano a controllare l’header dei pacchetti, autorizzando o bloccando il traffico in base a porta e indirizzo IP. Tuttavia, i malware moderni e customizzati spesso utilizzano tecniche di “port hopping” o comunicano su porte non standard (es. traffico web sulla porta 53, normalmente usata per il DNS) per mascherare la loro attività. In questi scenari, solo l’analisi del payload, ovvero del contenuto effettivo del pacchetto, permette di riconoscere la firma o il comportamento anomalo del malware.

L’identificazione di questo tipo di traffico occulto è un trattamento di dati ad altissimo rischio, che impone obblighi procedurali stringenti. Come sottolineato dalle autorità di protezione dei dati europee, ogni forma di monitoraggio sistematico e su larga scala deve essere preceduta da un’attenta valutazione dei rischi per i diritti e le libertà degli interessati. Proprio per questo, la DPIA diventa un documento non negoziabile.

Come chiarito dal Working Party Article 29, l’organismo che ha preceduto l’EDPB, l’adozione di queste tecnologie richiede una ponderazione fondamentale dei diritti dei lavoratori. Nelle sue linee guida, ha specificato:

Il WP29 ha sottolineato che i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori e che prima dell’inizio del trattamento deve essere effettuata una DPIA.

– Working Party Article 29, Linee guida sul trattamento dati dei lavoratori

L’ispezione del payload per scopi di cybersecurity, quindi, deve essere l’extrema ratio, giustificata nella DPIA dalla dimostrazione che nessun altro strumento (come l’analisi dei metadati o dei log dei sistemi perimetrali) sarebbe in grado di mitigare quel rischio specifico. La visualizzazione di flussi di dati anomali, come rappresentato nell’immagine seguente, è il risultato finale di un processo che deve essere legalmente e tecnicamente ineccepibile sin dalla sua progettazione.

Rappresentazione astratta di flussi di dati con pattern anomali evidenziati in rosso su sfondo tecnologico scuro

L’errore di ispezionare il traffico verso siti bancari o sanitari dei dipendenti

L’errore più grave che un’azienda possa commettere nella configurazione di un sistema DPI è quello di non implementare una “exception list” (o whitelist) per escludere dall’ispezione il traffico diretto a siti web di natura strettamente personale o che trattano dati di categoria particolare. Ispezionare, anche solo tecnicamente, il traffico verso domini bancari, sanitari, sindacali, religiosi o politici costituisce una violazione diretta e indifendibile dell’articolo 9 del GDPR.

Questa non è una sfumatura, ma una linea rossa invalicabile. La finalità di sicurezza aziendale, per quanto legittima, non può mai giustificare il trattamento di dati sensibili o giudiziari dei dipendenti, a meno che non sussistano le rarissime eccezioni previste dalla normativa. Un sistema DPI che, ad esempio, decifri e analizzi il traffico HTTPS verso il portale della banca di un dipendente o verso un sito di prenotazioni mediche, sta compiendo un trattamento illecito di dati per il quale le sanzioni sono le più severe. La normativa è chiara: la violazione dei principi fondamentali del trattamento, inclusi quelli relativi ai dati di categoria particolare, espone a multe che possono arrivare fino al 4% del fatturato annuo o 20 milioni di euro, secondo le sanzioni massime previste dal GDPR.

La misura tecnica obbligatoria per mitigare questo rischio è la configurazione di una lista di esclusione a livello di firewall o proxy. Questa lista deve contenere i domini di tutti i principali istituti bancari, delle assicurazioni, dei servizi sanitari (pubblici e privati), dei sindacati, dei partiti politici e dei siti religiosi. I moderni sistemi di sicurezza offrono spesso categorizzazioni predefinite (es. “Finance”, “Health”) che devono essere attivate e, soprattutto, integrate con domini specifici del contesto italiano. Questo accorgimento tecnico deve essere esplicitamente menzionato e dettagliato nella DPIA come misura adottata per minimizzare i rischi per i diritti e le libertà degli interessati.

Quando basta guardare l’header del pacchetto invece del payload per capire il rischio

Il principio di proporzionalità impone una gerarchia nei metodi di controllo. Prima di ricorrere alla misura più invasiva, è obbligatorio valutare se un approccio meno impattante sia sufficiente a raggiungere lo scopo. Nel contesto dell’analisi del traffico di rete, questa gerarchia si traduce nella distinzione fondamentale tra l’analisi dei metadati (gli “header” dei pacchetti) e l’analisi del contenuto (il “payload”).

L’analisi degli header fornisce informazioni preziose senza entrare nel merito della comunicazione: indirizzo IP di origine e destinazione, porta utilizzata, protocollo. Già solo questi dati possono rivelare molto: un dipendente che si connette a un indirizzo IP noto per ospitare server di malware, o un flusso di dati anomalo verso un paese con cui l’azienda non ha rapporti commerciali, sono segnali di rischio che possono essere identificati senza ispezionare il contenuto della comunicazione. Questo tipo di analisi, definita “metadata analysis” o “shallow packet inspection”, è significativamente meno invasiva e, in molti casi, sufficiente a mitigare una vasta gamma di minacce.

L’ispezione del payload, o Deep Packet Inspection, è l’extrema ratio. Il suo utilizzo deve essere giustificato nella DPIA da un’analisi che dimostri in modo inequivocabile che il rischio specifico che si intende mitigare (es. esfiltrazione di un file di progetto tramite un canale cifrato non autorizzato) non può essere rilevato con la sola analisi degli header. Come dimostrano i provvedimenti del Garante, la raccolta indiscriminata di dati di navigazione è sanzionata proprio perché sproporzionata.

Studio di caso: la sanzione alla Regione Lombardia per ispezione sproporzionata

Un esempio emblematico è il provvedimento con cui il Garante per la protezione dei dati personali ha sanzionato la Regione Lombardia. L’ente aveva implementato un sistema che raccoglieva e conservava per 12 mesi i log dettagliati della navigazione internet di tutti i dipendenti, incluse informazioni complete sui siti visitati. Il Garante ha ritenuto questa pratica sproporzionata, in quanto una conservazione così prolungata e dettagliata non era giustificata da specifiche e documentate esigenze di sicurezza. Il caso evidenzia come, anche in presenza di finalità legittime, la raccolta eccessiva di dati (il “cosa”, il “dove” e il “quando” della navigazione) costituisca una violazione, a maggior ragione se paragonata alla meno invasiva analisi dei soli metadati.

Telecamere in azienda: i 3 cartelli obbligatori che mancano quasi sempre

Per comprendere gli obblighi di trasparenza legati al monitoraggio digitale, un’analogia efficace è quella con la videosorveglianza, un ambito normativo che DPO e legali conoscono bene. L’articolo 4 dello Statuto dei Lavoratori accomuna tutti gli “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori”, ponendo telecamere e sistemi DPI sullo stesso piano per quanto riguarda l’iter autorizzativo (accordo sindacale o ITL).

Tuttavia, è sull’obbligo di informativa che l’analogia diventa più potente. Chiunque entri in un’area videosorvegliata si aspetta di vedere il classico cartello “Area Videosorvegliata”, che fornisce un’informativa di primo livello, immediata e comprensibile. Questo non è solo un requisito del GDPR (Art. 13), ma una prassi consolidata che crea trasparenza. Nel mondo digitale, questo “cartello” spesso manca o è inadeguato. L’equivalente digitale del cartello di videosorveglianza non è una clausola sepolta in un documento di 30 pagine, ma un’informativa chiara, stratificata e facilmente accessibile.

L’informativa di “primo livello” potrebbe essere un banner mostrato al login, che avvisa l’utente che la connessione è soggetta a monitoraggio per finalità di sicurezza, con un link all’informativa completa. L’informativa di “secondo livello”, disponibile sulla intranet aziendale, deve poi dettagliare con precisione quali dati vengono raccolti, per quali scopi, per quanto tempo e con quali misure di sicurezza, esattamente come si farebbe per la videosorveglianza. La tabella seguente mette a confronto i requisiti, evidenziando la perfetta sovrapponibilità degli obblighi.

Confronto tra obblighi per telecamere e sistemi DPI
Aspetto Telecamere Sistemi DPI
Obbligo informativa Cartello ‘Area Videosorvegliata’ Informativa privacy Art. 13 GDPR
Iter autorizzativo Accordo RSU/RSA o autorizzazione ITL Stesso iter: accordo sindacale o ITL
Modello informativo Cartello sintetico + informativa completa Banner login + policy dettagliata intranet
Base normativa Art. 4 Statuto Lavoratori + GDPR Art. 4 Statuto Lavoratori + GDPR

L’errore di non ispezionare il traffico HTTPS: come i malware passano indisturbati nel tunnel cifrato

Oggi, la quasi totalità del traffico web è cifrata tramite il protocollo HTTPS. Se da un lato questo protegge la privacy degli utenti da intercettazioni esterne, dall’altro crea un “tunnel” sicuro che può essere sfruttato dai malware per comunicare con i loro server di comando e controllo o per esfiltrare dati aziendali senza essere rilevati dai sistemi di sicurezza perimetrale. Non ispezionare il traffico HTTPS significa, di fatto, avere una visione cieca su una delle principali vie di infezione e attacco.

L’ispezione del traffico SSL/TLS, tuttavia, è una delle attività di trattamento più invasive in assoluto. Tecnicamente, richiede che il sistema di sicurezza (proxy o firewall) si interponga nella comunicazione, effettuando una sorta di attacco “Man-in-the-Middle” legittimo: il sistema decifra il traffico proveniente dal dipendente, lo ispeziona e poi lo cifra nuovamente verso il server di destinazione. Per fare ciò, è necessario che su ogni dispositivo aziendale sia installato un certificato di root controllato dall’azienda. Questa operazione espone potenzialmente in chiaro l’intero contenuto della navigazione del dipendente, comprese password, dati personali e contenuti di ogni tipo.

Data l’estrema invasività, questa pratica è soggetta a un cumulo di requisiti stringenti. Come evidenziato in un caso specifico riguardante un’azienda sanitaria, l’impossibilità di ottenere un consenso libero e informato da tutti gli interessati (pazienti, visitatori, ecc.) rende la DPIA non solo obbligatoria, ma cruciale. In tale contesto, l’ASL TO5 ha dovuto sottoporre al proprio DPO una dettagliata DPIA per giustificare il trattamento ai sensi dell’art. 110 del Codice Privacy. Per un’azienda privata, i requisiti sono ancora più netti: accordo sindacale o autorizzazione ITL, una DPIA a prova di bomba e l’implementazione di tutte le misure di mitigazione possibili, come le exception list per siti sensibili.

Piano d’azione per l’ispezione SSL/TLS conforme in Italia

  1. Eseguire una DPIA completa, approvata dal DPO, che documenti il rischio specifico che rende la decifratura l’unica misura efficace.
  2. Ottenere un accordo sindacale (o autorizzazione ITL) che menzioni esplicitamente e dettagliatamente la pratica della decifratura SSL/TLS.
  3. Aggiornare la policy di utilizzo degli strumenti informatici, spiegando in modo trasparente e comprensibile ai dipendenti la natura e le finalità del controllo.
  4. Implementare e mantenere aggiornata una rigorosa “exception list” per escludere dall’ispezione siti bancari, sanitari, sindacali, religiosi e politici.
  5. Stabilire una procedura tecnica che garantisca l’installazione del certificato di root solo ed esclusivamente sui dispositivi di proprietà aziendale, escludendo categoricamente i dispositivi personali (BYOD).

Da ricordare

  • La conformità legale dei controlli non deriva dall’autorizzazione formale, ma dalla configurazione tecnica che applica i principi di proporzionalità e minimizzazione “by design”.
  • L’ispezione del payload e la decifratura SSL/TLS sono misure di “extrema ratio” che richiedono una Valutazione d’Impatto (DPIA) che ne dimostri l’assoluta necessità.
  • La documentazione di ogni scelta tecnica, delle configurazioni e delle policy è l’unico elemento probatorio valido per difendere la legittimità dei controlli di fronte al Garante.

Come gestire onboarding e offboarding dei dipendenti per evitare account “zombie” attivi?

La gestione del ciclo di vita delle utenze digitali è un aspetto della sicurezza e della privacy spesso sottovalutato, ma che rappresenta una vulnerabilità critica. Un account email o di accesso ai sistemi che rimane attivo dopo la cessazione del rapporto di lavoro (“account zombie”) costituisce una grave falla di sicurezza e una violazione diretta del principio di limitazione della conservazione dei dati (Art. 5(1)(e) del GDPR).

Il rischio è duplice. Dal punto di vista della sicurezza, un account abbandonato è un facile punto di ingresso per aggressori esterni o un’opportunità per l’ex dipendente di accedere indebitamente a informazioni aziendali. Dal punto di vista della privacy, mantenere attivo un account significa continuare a trattare i dati personali dell’ex dipendente senza una base giuridica valida e per un tempo indefinito. Il Garante Privacy ha mostrato tolleranza zero su questo punto, arrivando a comminare una sanzione da 50.000 euro nel 2022 per il mantenimento di un account di posta elettronica attivo dopo la fine del rapporto di lavoro.

Per mitigare questo rischio, è essenziale implementare una procedura di offboarding rigorosa e documentata, che preveda azioni immediate e scadenze precise. Le linee guida del Garante e le best practice suggeriscono una sequenza operativa chiara:

  • Disattivazione immediata: L’account deve essere disattivato nel momento esatto in cui cessa il rapporto di lavoro.
  • Risposta automatica informativa: È possibile impostare un risponditore automatico che informi i mittenti che l’indirizzo non è più attivo, indicando un contatto alternativo in azienda. Questo meccanismo, secondo il Garante, dovrebbe avere una durata limitata (es. 30-60 giorni).
  • Conservazione per obblighi legali: I dati contenuti nell’account possono essere archiviati (ma non resi accessibili) solo se necessario per adempiere a specifici obblighi di legge o per finalità di difesa in giudizio, per il periodo di tempo strettamente necessario (es. 10 anni per le scritture contabili).
  • Cancellazione definitiva: Al termine del periodo di conservazione obbligatoria, la casella di posta e tutti i dati in essa contenuti devono essere cancellati in modo sicuro e definitivo.

Una procedura di offboarding ben definita è fondamentale. La corretta gestione del ciclo di vita degli account non è solo una buona pratica di sicurezza, ma un obbligo legale la cui violazione comporta sanzioni dirette e significative.

L’audit e l’adeguamento dei sistemi di ispezione e delle procedure di gestione utenze non sono più opzionali. Iniziate oggi a mappare le vostre configurazioni tecniche e le policy rispetto ai principi di proporzionalità e minimizzazione per costruire una difesa documentale solida e inattaccabile di fronte a qualsiasi ispezione.

Domande frequenti su DPI, Privacy e controlli in Italia

Quali siti devono essere esclusi dall’ispezione DPI in Italia?

È obbligatorio escludere dall’ispezione tutti i domini che trattano dati di categoria particolare o che attengono alla sfera strettamente privata del lavoratore. Ciò include, a titolo esemplificativo, i portali del Servizio Sanitario Nazionale e delle strutture sanitarie private, i siti dei principali gruppi bancari e assicurativi italiani, i portali dell’Agenzia delle Entrate, i siti di organizzazioni sindacali, partiti politici e associazioni religiose, nonché i siti che offrono assistenza psicologica o legale.

Cosa fare in caso di cattura accidentale di dati sensibili?

Qualora un sistema, per un errore di configurazione, dovesse catturare e registrare dati sensibili, è necessario attivare immediatamente la procedura di gestione del data breach. Questo comporta: l’isolamento immediato del dato per impedirne l’ulteriore accesso, la sua cancellazione sicura e irrecuperabile, la documentazione dettagliata dell’incidente nel registro interno dei data breach e una valutazione, condotta dal DPO, sull’opportunità di notificare l’accaduto all’interessato e/o al Garante, in base al rischio per i diritti e le libertà della persona.

Come utilizzare le categorizzazioni dei firewall?

I moderni firewall e proxy offrono categorie di siti predefinite (es. ‘Finance’, ‘Health’, ‘Gambling’, ‘Politics’) che rappresentano un ottimo punto di partenza. La best practice consiste nell’implementare una regola che escluda sistematicamente dall’ispezione (in particolare dalla decifratura SSL/TLS) il traffico appartenente a queste categorie sensibili. È fondamentale, inoltre, integrare queste liste predefinite con domini specifici del contesto italiano che potrebbero non essere inclusi, creando una policy di esclusione personalizzata e mantenendola costantemente aggiornata.

Scritto da Alessandro Conti, Consulente esperto in Cybersecurity e Compliance legale (DPO), specializzato nel settore della Pubblica Amministrazione e delle infrastrutture critiche. Membro attivo di associazioni per la sicurezza informatica e auditor certificato ISO 27001.
Next Generation Firewall: come bloccare Facebook e YouTube solo a specifici reparti?
Perché il firewall standard del provider non basta a proteggere la tua PMI dagli attacchi mirati?
Novità del sito
Manutenzione Storage Enterprise: perché la deframmentazione non serve più (e cosa fare invece)?
Sindrome da burnout del Sysadmin: smetti di spegnere incendi, automatizza la routine e riprenditi la vita
Centralizzazione dei Log: perché in caso di attacco i log locali non ti salveranno?
Gestione dispositivi mobili (MDM): come controllare 100 smartphone aziendali senza impazzire?
Come ridurre la bolletta energetica IT del 20% applicando policy di Green IT concrete?
Post simili
Wi-Fi pubblici e hotel: come proteggere i dati aziendali quando i commerciali viaggiano?
VPN Client-to-Site o Site-to-Site: quale architettura serve per collegare tre sedi e 50 smart worker?
Passwordless in azienda: l’impronta digitale o il volto sono davvero più sicuri della password?
Come gestire onboarding e offboarding dei dipendenti per evitare account “zombie” attivi?