Bring Your Own Device (BYOD): una tendenza digitale con alcune pecche

Nel moderno mondo digitale la vita privata e la­vo­ra­ti­va si mescolano sempre più tra loro. Ciò è con­fer­ma­to da una tendenza che, partita dagli USA, sta prendendo sempre più piede anche in Italia: BYOD, Bring Your Own Device. Molti di­pen­den­ti per comodità usano già i loro notebook, tablet e smart­pho­ne in ufficio con la speranza di aumentare la pro­dut­ti­vi­tà. Tuttavia il trend BYOD è anche un incubo per i so­ste­ni­to­ri della tutela dei dati personali e per i giuristi, ral­len­tan­do­ne l’af­fer­ma­zio­ne.

Tradotto in italiano “Bring Your Own Device” significa “Porta (con te) il tuo di­spo­si­ti­vo”, in­ten­den­do che in ufficio al posto di usare un computer messo a di­spo­si­zio­ne dall’azienda, si uti­liz­za­no i propri di­spo­si­ti­vi mobili personali (ad esempio notebook, tablet o smart­pho­ne). Questa opzione rimane comunque una libera scelta, visto che un capo non può co­strin­ge­re i propri di­pen­den­ti a lavorare con un hardware privato. Al contrario è obbligato a rendere di­spo­ni­bi­li i mezzi necessari per svolgere il lavoro richiesto.

Il termine BYOD non viene uti­liz­za­to solo in contesti la­vo­ra­ti­vi, ma anche nelle uni­ver­si­tà, bi­blio­te­che, scuole e in altri centri culturali. Anche in questo caso si promuove l’uso dei propri di­spo­si­ti­vi mobili all’interno della rete della ri­spet­ti­va isti­tu­zio­ne, al posto di uti­liz­za­re gli hardware già presenti. Per attuare questo modello BYOD è ne­ces­sa­rio avere delle linee guida chiare (in inglese: BYOD policy), dove è stabilito come gli utenti possono uti­liz­za­re i propri di­spo­si­ti­vi elet­tro­ni­ci all’interno della rete, quali sono le direttive di sicurezza adottate e quali regole bisogna ri­spet­ta­re.

In un’azienda queste linee guida do­vreb­be­ro essere create in col­la­bo­ra­zio­ne con i di­pen­den­ti ed essere chia­ra­men­te indicate sul contratto. Ciò è ne­ces­sa­rio anche perché con il BYOD sorgono diversi in­ter­ro­ga­ti­vi ri­guar­dan­ti i permessi di accesso e il controllo, ma anche la sfera privata del la­vo­ra­to­re e la pro­te­zio­ne dei dati in azienda.

In Italia il fenomeno è ancora re­la­ti­va­men­te nuovo e per questo motivo i datori di lavoro che con­sen­to­no di adottare questo modello non sempre de­fi­ni­sco­no delle linee guida chiare. Per orien­tar­si in tal senso le aziende possono far ri­fe­ri­men­to alla guida messa a di­spo­si­zio­ne dal Garante Europeo della pro­te­zio­ne dei dati (EDPS) sull’uso dei propri di­spo­si­ti­vi mobili all’interno delle isti­tu­zio­ni e degli organi dell’UE.

L’adozione di una politica “Bring Your Own Device” può risultare utile laddove sono messe a di­spo­si­zio­ne po­sta­zio­ni di lavoro elet­tro­ni­che, che ricoprono le stesse funzioni che po­treb­be­ro essere svolte da di­spo­si­ti­vi privati. Finora il concetto di BYOD viene applicato in par­ti­co­la­re nel settore dell’istru­zio­ne e all’interno delle aziende.

Nella maggior parte delle uni­ver­si­tà è ormai usuale che gli studenti portino con sé il proprio computer per studiare o passare il tempo tra una lezione e l’altra, ma non è neanche così insolito che vengano portati notebook e smart­pho­ne a scuola; inoltre una loro co­no­scen­za più o meno ap­pro­fon­di­ta trova ormai un posto di rilievo nel CV. Ponendosi la domanda relativa agli effettivi scopi educativi di questi sistemi BYOD, emer­ge­ran­no sia pro che contro.

Nel 2018 il Miur ha diffuso un decalogo per l’uso dei di­spo­si­ti­vi mobili a scuola, in­cen­ti­van­do così anche gli in­se­gnan­ti a integrare la tec­no­lo­gia nella didattica. Ov­via­men­te ogni docente ha il diritto di scegliere come uti­liz­za­re i di­spo­si­ti­vi all’interno delle lezioni e ogni istituto può emanare all’interno dei propri re­go­la­men­ti delle direttive su come com­por­tar­si con la tec­no­lo­gia. Infatti per per­met­te­re la con­net­ti­vi­tà di tutti gli alunni e del personale docente è anche richiesta un’adeguata in­fra­strut­tu­ra IT, non sempre a di­spo­si­zio­ne in tutte le scuole.

Inoltre a volte viene mossa la critica che l’utilizzo dei di­spo­si­ti­vi mobili non ga­ran­ti­sce un mi­glio­ra­men­to degli esiti negli esami, perciò un loro uso deve servire in prima linea per la tra­smis­sio­ne delle com­pe­ten­ze IT, in­di­spen­sa­bi­li nella vita di tutti i giorni e nel moderno mondo del lavoro. Quindi i propri di­spo­si­ti­vi devono essere uti­liz­za­ti co­scien­zio­sa­men­te in classe, in modo da pro­muo­ve­re una giusta ap­pli­ca­zio­ne del concetto BYOD.

L’in­tro­du­zio­ne di un modello BYOD per i di­pen­den­ti si traduce in par­ti­co­la­re in un maggiore comfort in ufficio. Al posto di lavorare con hardware aziendali lenti è possibile ricorrere ai propri di­spo­si­ti­vi, so­li­ta­men­te più recenti e quindi con requisiti migliori. Inoltre a chi viaggia per lavoro risulta più facile portarsi solo un notebook privato senza doverne avere anche uno aziendale. In genere l’ini­zia­ti­va di una politica BYOD nell’azienda è promossa dai di­pen­den­ti, in par­ti­co­la­re quelli più giovani, avvezzi all’uso della tec­no­lo­gia sin da piccoli.

Per questo motivo i datori di lavoro che si mostrano aperti all’adozione del modello BYOD hanno un prezioso incentivo a di­spo­si­zio­ne che può aiutare al momento della ricerca di candidati; in questo modo l’azienda dimostra che ha a cuore la felicità dei propri di­pen­den­ti. Allo stesso tempo dai pre­cur­so­ri del BYOD, come IBM, ci si aspetta una pro­dut­ti­vi­tà maggiore se i di­pen­den­ti lavorano con i propri di­spo­si­ti­vi che conoscono meglio.

Inoltre l’in­te­gra­zio­ne di di­spo­si­ti­vi privati sul lavoro si presenta come un pre­re­qui­si­to ideale per l’home office e per ottenere orari di lavoro più fles­si­bi­li. Da nominare sono anche i vantaggi economici ed ecologici: i datori di lavoro ri­spar­mia­no sull’acquisito di nuovi di­spo­si­ti­vi in ufficio e riducono anche gli effetti negativi che si ri­per­cuo­to­no sull’ambiente.

Prendendo in con­si­de­ra­zio­ne un altro lato emergono un elevato impegno per l’im­ple­men­ta­zio­ne e la ma­nu­ten­zio­ne nonché i relativi costi. Il modello BYOD può portare a una maggiore com­ples­si­tà nello svol­gi­men­to dei processi aziendali e si con­trap­po­ne alla lar­ga­men­te diffusa strategia di uni­for­ma­re l’in­fra­strut­tu­ra IT nelle or­ga­niz­za­zio­ni. Quindi la sua rea­liz­za­zio­ne dipende molto dalla coo­pe­ra­zio­ne dei la­vo­ra­to­ri; infatti solo così si possono pa­dro­neg­gia­re le più diverse sfide tecniche e or­ga­niz­za­ti­ve, che sorgono di volta in volta.

Anche per i la­vo­ra­to­ri il concetto BYOD presenta alcuni aspetti negativi: dopo la di­spen­dio­sa con­fi­gu­ra­zio­ne di tutti i servizi necessari per lavorare sul proprio PC, i la­vo­ra­to­ri devono ras­se­gnar­si al fatto che l’azienda abbia un certo controllo sul di­spo­si­ti­vo, ne­ces­sa­rio per garantire la sicurezza dei dati aziendali e della propria rete. Inoltre l’utente deve farsi carico dei costi che derivano dall’uso del di­spo­si­ti­vo in questione.

Un altro problema è il po­ten­zia­le peg­gio­ra­men­to del work life balance: se si ha accesso ad ap­pli­ca­zio­ni dell’ufficio anche da casa, come la casella di posta elet­tro­ni­ca aziendale, ci si sente magari costretti a essere sempre re­pe­ri­bi­li, quindi la vita privata e il lavoro si mescolano sempre più. Cambiando pro­spet­ti­va, sorge anche spontanea la domanda se uti­liz­zan­do il proprio PC sul lavoro non ci si distragga più fa­cil­men­te rispetto a servirsi del computer aziendale.

Sebbene il concetto BYOD presenti dei chiari vantaggi per in­se­gnan­ti e studenti, ma anche per datori di lavoro e di­pen­den­ti, vi si ri­col­le­ga­no al­tret­tan­to rischi per la sicurezza e questioni legali.

In­di­pen­den­te­men­te dal fatto che si lavori in un’azienda o in un altro tipo di or­ga­niz­za­zio­ne, “Bring Your Own Device” rap­pre­sen­ta sempre un rischio per la sicurezza da non sot­to­va­lu­ta­re. Per capire il grado di attualità del tema sulla pro­te­zio­ne dei dati personali in questo contesto, im­ma­gi­nia­mo che si ve­ri­fi­chi­no i seguenti scenari:

• Scenario 1: I dati sensibili dei clienti, dei la­vo­ra­to­ri e dell’azienda vengono salvati ed elaborati su un di­spo­si­ti­vo esterno non con­trol­la­to dall’azienda (o solo par­zial­men­te sor­ve­glia­to). Visto che si tratta di software e hardware che finora sono stati uti­liz­za­ti prin­ci­pal­men­te per un uso privato, il pro­prie­ta­rio potrebbe aver in­stal­la­to mec­ca­ni­smi di sicurezza più vul­ne­ra­bi­li rispetto a un ambiente IT aziendale. Magari per abitudine si bada meno ai messaggi di spam e a link di dubbia pro­ve­nien­za, au­men­tan­do così il rischio di phishing. È anche pensabile che il di­spo­si­ti­vo venga rubato o perso, cosa che equi­var­reb­be a una ca­ta­stro­fe con con­se­guen­ze serie sul piano della sicurezza.
• Scenario 2: D’altra parte anche un di­spo­si­ti­vo privato rap­pre­sen­ta un rischio per la sicurezza della rete aziendale. Se si instaura una con­nes­sio­ne non criptata o un computer è stato già con­ta­mi­na­to da malware, ciò può mettere in pericolo l’intera in­fra­strut­tu­ra IT o spiare (senza volerlo) i database che con­ten­go­no in­for­ma­zio­ni riservate.

Ora la pro­te­zio­ne dei dati personali deve essere garantita anche sui di­spo­si­ti­vi privati, in par­ti­co­la­re per quanto riguarda i dati personali secondo l’RGPD; in questo caso l’azienda, e non il di­pen­den­te, se ne assume la piena re­spon­sa­bi­li­tà. Così i dirigenti e il reparto IT si trovano di fronte a grandi sfide le­gi­sla­ti­ve, tecniche e am­mi­ni­stra­ti­ve, so­prat­tut­to quando molti di­spo­si­ti­vi diversi con dif­fe­ren­ti sistemi operativi e programmi devono essere integrati nella stessa rete.

In queste cir­co­stan­ze è legittimo che il capo abbia un certo controllo sui di­spo­si­ti­vi: tra queste azioni rientrano ad esempio il controllo dell’at­tua­zio­ne delle misure ne­ces­sa­rie per la pro­te­zio­ne dei dati, la garanzia che vi sia una se­pa­ra­zio­ne netta tra dati privati e aziendali, oltre che la pos­si­bi­li­tà di eliminare o ri­pri­sti­na­re, in caso di dubbi, dati da remoto. Allo stesso tempo tutte queste ope­ra­zio­ni devono essere ef­fet­tua­te in con­for­mi­tà con il RGPD e in par­ti­co­la­re con il diritto di in­for­ma­zio­ne e accesso ai dati personali. Si delinea così una faccenda complessa e al contempo ricca di conflitti in cui si deve valutare bene ogni più piccolo dettaglio.

Tutte le domande rilevanti devono quindi essere risposte in modo univoco, ad esempio: “Anche un familiare di un di­pen­den­te può uti­liz­za­re il di­spo­si­ti­vo?” e “Che cosa succede con i dati aziendali quando il col­la­bo­ra­to­re non lavora più lì?”. Risolvere queste in­cer­tez­ze iniziali può rap­pre­sen­ta­re per l’azienda un impegno maggiore da non sot­to­va­lu­ta­re. Una BYOD policy completa deve essere co­mu­ni­ca­ta allo staff in modo tra­spa­ren­te e aperto per ridurre il rischio di fuga dei dati (data leak) e di vio­la­zio­ni del diritto alla pro­te­zio­ne dei dati personali. Rimane comunque sempre un minimo rischio, anche perché il datore di lavoro rinuncia a una parte del suo controllo fidandosi dei suoi di­pen­den­ti.

Per quanto concerne il lato tecnico, i reparti IT si servono di diverse soluzioni per rea­liz­za­re il concetto BYOD:

• Ostacoli di accesso comuni: le con­nes­sio­ni protette tramite VPN, l’ero­ga­zio­ne di servizi limitati così come l’au­ten­ti­ca­zio­ne a due fattori.
• Soluzioni a container: per garantire la sicurezza dei dati sensibili su di­spo­si­ti­vi privati, molte aziende si basano su co­sid­det­ti “container” cifrati. In questo caso si tratta di par­ti­zio­ni isolate e con accesso limitato situate sul disco fisso locale, in cui vengono me­mo­riz­za­ti i dati e da cui viene stabilita la con­nes­sio­ne alla rete aziendale.
• Mobile Device Ma­na­ge­ment: i software MDM, come AirWatch o Mo­bi­leI­ron, servono per l’in­te­gra­zio­ne centrale e l’am­mi­ni­stra­zio­ne di di­spo­si­ti­vi privati in azienda. Tramite l’in­ter­fac­cia utente pro­fes­sio­na­le si ge­sti­sco­no i dati, si in­stal­la­no gli ag­gior­na­men­ti e si con­fi­gu­ra­no blocchi per con­nes­sio­ni Wi-Fi non sicure e app sco­no­sciu­te di terze parti. Visto che il la­vo­ra­to­re deve gio­strar­si per tenere separate le po­sta­zio­ni di lavoro dalla vita privata e viceversa, il Mobile Device Ma­na­ge­ment va a scapito dell’espe­rien­za utente. Inoltre il controllo maggiore da parte del datore di lavoro ha im­pli­ca­zio­ni negative sulla sfera privata del di­pen­den­te.
• Soluzioni sandbox: un’al­ter­na­ti­va uti­liz­za­ta spesso tra le soluzioni nominate è quella di ricorrere a in­fra­strut­tu­re di desktop virtuali e ad ap­pli­ca­zio­ni web che con­sen­to­no l’accesso remoto dal di­spo­si­ti­vo privato al computer aziendale, evitando così di salvare dati sensibili su di­spo­si­ti­vi esterni. Tra questi rientrano i servizi cloud e le piat­ta­for­me online di col­la­bo­ra­zio­ne come Microsoft Exchange.

Mentre nei mercati che crescono ra­pi­da­men­te, come quello asiatico, è normale lavorare con il proprio computer in azienda, sem­bre­reb­be che l’Italia e il resto d’Europa af­fron­ti­no questo modello ancora con i piedi di piombo. Come già scritto, ciò dipende da dubbi su sicurezza e questioni giu­ri­di­che. Il problema è che il concetto “Bring Your Own Device” non è re­go­la­men­ta­to da leggi nazionali e non sono state emesse sentenze al riguardo.

Pertanto non sono ancora state chiarite im­por­tan­ti questioni relative alla re­spon­sa­bi­li­tà nel BYOD: ad esempio cosa succede se un server aziendale viene dan­neg­gia­to da un malware esterno? Chi è re­spon­sa­bi­le di un notebook privato se viene dan­neg­gia­to o perso? E chi paga il volume dati consumato durante il lavoro?

Un altro esempio che sot­to­li­nea la com­ples­si­tà giuridica della faccenda è ri­scon­tra­bi­le nelle licenze: infatti non tutti sanno che usare una licenza privata di Microsoft Office per il lavoro potrebbe avere delle ri­per­cus­sio­ni legali. Uti­liz­za­re una semplice pre­sen­ta­zio­ne Po­wer­Point durante un meeting aziendale potrebbe essere visto come una vio­la­zio­ne del copyright Microsoft. L'ac­qui­si­zio­ne di licenze aziendali per ciascun di­pen­den­te rap­pre­sen­ta quindi un costo ag­giun­ti­vo, che si ottiene con “Bring Your Own Device”.

Un altro motivo di di­scus­sio­ne sono le questioni fiscali, in par­ti­co­la­re in merito allo stipendio, all’IVA e a come devono essere trattati fi­scal­men­te i costi sostenuti per i di­spo­si­ti­vi e il po­ten­zia­men­to dell’in­fra­strut­tu­ra IT. Per ri­spon­de­re a queste domande conviene sempre con­sul­ta­re un avvocato.

Basandosi sui punti critici relativi alla tec­no­lo­gia impiegata dalle isti­tu­zio­ni e dalle aziende e prendendo in con­si­de­ra­zio­ne i dubbi sui rischi per la sicurezza e su questioni giu­ri­di­che che sorgono adottando il concetto BYOD, è evidente che il modello porti con sé sia vantaggi sia svantaggi. Di seguito vi rias­su­mia­mo gli argomenti fa­vo­re­vo­li e contrari al fenomeno BYOD:

Il modello BYOD offre in­dub­bia­men­te molti vantaggi, sia per i di­pen­den­ti sia per i datori di lavoro. Tuttavia non si è ancora affermato in Italia, so­prat­tut­to per via delle rigide regole ri­guar­dan­ti la tutela dei dati personali. Al contrario negli Stati Uniti, da dove proviene il fenomeno, sembra essersi ve­ri­fi­ca­ta un’in­ver­sio­ne di tendenza. Infatti secondo un sondaggio dell’as­so­cia­zio­ne in­ter­na­zio­na­le nel settore dell’IT, CompTIA, negli ultimi anni l’utilizzo di sistemi BYOD è net­ta­men­te diminuito.

Sem­bre­reb­be quindi che l’era dei di­spo­si­ti­vi privati in ufficio sia giunta al termine e che al suo posto si siano andati af­fer­man­do due con­tro­fe­no­me­ni, che con­sen­to­no al datore di lavoro un maggiore controllo sui dati:

• Choose Your Own Device (CYOD): i la­vo­ra­to­ri possono scegliere tra una vasta gamma di di­spo­si­ti­vi quello che pre­fe­ri­sco­no, che sarà fi­nan­zia­to dall’azienda e che diventerà di loro proprietà. L’utilizzo del di­spo­si­ti­vo per scopi privati dovrebbe essere espli­ci­ta­to all’interno di una policy.
• Corporate Owned, Per­so­nal­ly Enabled (COPE): ai la­vo­ra­to­ri è espli­ci­ta­men­te con­sen­ti­to di uti­liz­za­re un di­spo­si­ti­vo aziendale anche per scopi privati. Visto che risultano poi re­spon­sa­bi­li per la sua con­fi­gu­ra­zio­ne iniziale e il relativo supporto di base, questo principio prevede una de­ter­mi­na­ta abilità tecnica.

Se il fenomeno BYOD scemerà anche da noi prima che si sia affermato veramente, è ancora tutto da vedere.

Vi preghiamo di osservare la nota legale relativa a questo articolo.