Bring Your Own Device (BYOD): una tendenza digitale con alcune pecche

Nel moderno mondo digitale la vita privata e lavorativa si mescolano sempre più tra loro. Ciò è confermato da una tendenza che, partita dagli USA, sta prendendo sempre più piede anche in Italia: BYOD, Bring Your Own Device. Molti dipendenti per comodità usano già i loro notebook, tablet e smartphone in ufficio con la speranza di aumentare la produttività. Tuttavia il trend BYOD è anche un incubo per i sostenitori della tutela dei dati personali e per i giuristi, rallentandone l’affermazione.

Tradotto in italiano “Bring Your Own Device” significa “Porta (con te) il tuo dispositivo”, intendendo che in ufficio al posto di usare un computer messo a disposizione dall’azienda, si utilizzano i propri dispositivi mobili personali (ad esempio notebook, tablet o smartphone). Questa opzione rimane comunque una libera scelta, visto che un capo non può costringere i propri dipendenti a lavorare con un hardware privato. Al contrario è obbligato a rendere disponibili i mezzi necessari per svolgere il lavoro richiesto.

Il termine BYOD non viene utilizzato solo in contesti lavorativi, ma anche nelle università, biblioteche, scuole e in altri centri culturali. Anche in questo caso si promuove l’uso dei propri dispositivi mobili all’interno della rete della rispettiva istituzione, al posto di utilizzare gli hardware già presenti. Per attuare questo modello BYOD è necessario avere delle linee guida chiare (in inglese: BYOD policy), dove è stabilito come gli utenti possono utilizzare i propri dispositivi elettronici all’interno della rete, quali sono le direttive di sicurezza adottate e quali regole bisogna rispettare.

In un’azienda queste linee guida dovrebbero essere create in collaborazione con i dipendenti ed essere chiaramente indicate sul contratto. Ciò è necessario anche perché con il BYOD sorgono diversi interrogativi riguardanti i permessi di accesso e il controllo, ma anche la sfera privata del lavoratore e la protezione dei dati in azienda.

In Italia il fenomeno è ancora relativamente nuovo e per questo motivo i datori di lavoro che consentono di adottare questo modello non sempre definiscono delle linee guida chiare. Per orientarsi in tal senso le aziende possono far riferimento alla guida messa a disposizione dal Garante Europeo della protezione dei dati (EDPS) sull’uso dei propri dispositivi mobili all’interno delle istituzioni e degli organi dell’UE.

L’adozione di una politica “Bring Your Own Device” può risultare utile laddove sono messe a disposizione postazioni di lavoro elettroniche, che ricoprono le stesse funzioni che potrebbero essere svolte da dispositivi privati. Finora il concetto di BYOD viene applicato in particolare nel settore dell’istruzione e all’interno delle aziende.

Nella maggior parte delle università è ormai usuale che gli studenti portino con sé il proprio computer per studiare o passare il tempo tra una lezione e l’altra, ma non è neanche così insolito che vengano portati notebook e smartphone a scuola; inoltre una loro conoscenza più o meno approfondita trova ormai un posto di rilievo nel CV. Ponendosi la domanda relativa agli effettivi scopi educativi di questi sistemi BYOD, emergeranno sia pro che contro.

Nel 2018 il Miur ha diffuso un decalogo per l’uso dei dispositivi mobili a scuola, incentivando così anche gli insegnanti a integrare la tecnologia nella didattica. Ovviamente ogni docente ha il diritto di scegliere come utilizzare i dispositivi all’interno delle lezioni e ogni istituto può emanare all’interno dei propri regolamenti delle direttive su come comportarsi con la tecnologia. Infatti per permettere la connettività di tutti gli alunni e del personale docente è anche richiesta un’adeguata infrastruttura IT, non sempre a disposizione in tutte le scuole.

Inoltre a volte viene mossa la critica che l’utilizzo dei dispositivi mobili non garantisce un miglioramento degli esiti negli esami, perciò un loro uso deve servire in prima linea per la trasmissione delle competenze IT, indispensabili nella vita di tutti i giorni e nel moderno mondo del lavoro. Quindi i propri dispositivi devono essere utilizzati coscienziosamente in classe, in modo da promuovere una giusta applicazione del concetto BYOD.

L’introduzione di un modello BYOD per i dipendenti si traduce in particolare in un maggiore comfort in ufficio. Al posto di lavorare con hardware aziendali lenti è possibile ricorrere ai propri dispositivi, solitamente più recenti e quindi con requisiti migliori. Inoltre a chi viaggia per lavoro risulta più facile portarsi solo un notebook privato senza doverne avere anche uno aziendale. In genere l’iniziativa di una politica BYOD nell’azienda è promossa dai dipendenti, in particolare quelli più giovani, avvezzi all’uso della tecnologia sin da piccoli.

Per questo motivo i datori di lavoro che si mostrano aperti all’adozione del modello BYOD hanno un prezioso incentivo a disposizione che può aiutare al momento della ricerca di candidati; in questo modo l’azienda dimostra che ha a cuore la felicità dei propri dipendenti. Allo stesso tempo dai precursori del BYOD, come IBM, ci si aspetta una produttività maggiore se i dipendenti lavorano con i propri dispositivi che conoscono meglio.

Inoltre l’integrazione di dispositivi privati sul lavoro si presenta come un prerequisito ideale per l’home office e per ottenere orari di lavoro più flessibili. Da nominare sono anche i vantaggi economici ed ecologici: i datori di lavoro risparmiano sull’acquisito di nuovi dispositivi in ufficio e riducono anche gli effetti negativi che si ripercuotono sull’ambiente.

Prendendo in considerazione un altro lato emergono un elevato impegno per l’implementazione e la manutenzione nonché i relativi costi. Il modello BYOD può portare a una maggiore complessità nello svolgimento dei processi aziendali e si contrappone alla largamente diffusa strategia di uniformare l’infrastruttura IT nelle organizzazioni. Quindi la sua realizzazione dipende molto dalla cooperazione dei lavoratori; infatti solo così si possono padroneggiare le più diverse sfide tecniche e organizzative, che sorgono di volta in volta.

Anche per i lavoratori il concetto BYOD presenta alcuni aspetti negativi: dopo la dispendiosa configurazione di tutti i servizi necessari per lavorare sul proprio PC, i lavoratori devono rassegnarsi al fatto che l’azienda abbia un certo controllo sul dispositivo, necessario per garantire la sicurezza dei dati aziendali e della propria rete. Inoltre l’utente deve farsi carico dei costi che derivano dall’uso del dispositivo in questione.

Un altro problema è il potenziale peggioramento del work life balance: se si ha accesso ad applicazioni dell’ufficio anche da casa, come la casella di posta elettronica aziendale, ci si sente magari costretti a essere sempre reperibili, quindi la vita privata e il lavoro si mescolano sempre più. Cambiando prospettiva, sorge anche spontanea la domanda se utilizzando il proprio PC sul lavoro non ci si distragga più facilmente rispetto a servirsi del computer aziendale.

Sebbene il concetto BYOD presenti dei chiari vantaggi per insegnanti e studenti, ma anche per datori di lavoro e dipendenti, vi si ricollegano altrettanto rischi per la sicurezza e questioni legali.

Indipendentemente dal fatto che si lavori in un’azienda o in un altro tipo di organizzazione, “Bring Your Own Device” rappresenta sempre un rischio per la sicurezza da non sottovalutare. Per capire il grado di attualità del tema sulla protezione dei dati personali in questo contesto, immaginiamo che si verifichino i seguenti scenari:

• Scenario 1: I dati sensibili dei clienti, dei lavoratori e dell’azienda vengono salvati ed elaborati su un dispositivo esterno non controllato dall’azienda (o solo parzialmente sorvegliato). Visto che si tratta di software e hardware che finora sono stati utilizzati principalmente per un uso privato, il proprietario potrebbe aver installato meccanismi di sicurezza più vulnerabili rispetto a un ambiente IT aziendale. Magari per abitudine si bada meno ai messaggi di spam e a link di dubbia provenienza, aumentando così il rischio di phishing. È anche pensabile che il dispositivo venga rubato o perso, cosa che equivarrebbe a una catastrofe con conseguenze serie sul piano della sicurezza.
• Scenario 2: D’altra parte anche un dispositivo privato rappresenta un rischio per la sicurezza della rete aziendale. Se si instaura una connessione non criptata o un computer è stato già contaminato da malware, ciò può mettere in pericolo l’intera infrastruttura IT o spiare (senza volerlo) i database che contengono informazioni riservate.

Ora la protezione dei dati personali deve essere garantita anche sui dispositivi privati, in particolare per quanto riguarda i dati personali secondo l’RGPD; in questo caso l’azienda, e non il dipendente, se ne assume la piena responsabilità. Così i dirigenti e il reparto IT si trovano di fronte a grandi sfide legislative, tecniche e amministrative, soprattutto quando molti dispositivi diversi con differenti sistemi operativi e programmi devono essere integrati nella stessa rete.

In queste circostanze è legittimo che il capo abbia un certo controllo sui dispositivi: tra queste azioni rientrano ad esempio il controllo dell’attuazione delle misure necessarie per la protezione dei dati, la garanzia che vi sia una separazione netta tra dati privati e aziendali, oltre che la possibilità di eliminare o ripristinare, in caso di dubbi, dati da remoto. Allo stesso tempo tutte queste operazioni devono essere effettuate in conformità con il RGPD e in particolare con il diritto di informazione e accesso ai dati personali. Si delinea così una faccenda complessa e al contempo ricca di conflitti in cui si deve valutare bene ogni più piccolo dettaglio.

Tutte le domande rilevanti devono quindi essere risposte in modo univoco, ad esempio: “Anche un familiare di un dipendente può utilizzare il dispositivo?” e “Che cosa succede con i dati aziendali quando il collaboratore non lavora più lì?”. Risolvere queste incertezze iniziali può rappresentare per l’azienda un impegno maggiore da non sottovalutare. Una BYOD policy completa deve essere comunicata allo staff in modo trasparente e aperto per ridurre il rischio di fuga dei dati (data leak) e di violazioni del diritto alla protezione dei dati personali. Rimane comunque sempre un minimo rischio, anche perché il datore di lavoro rinuncia a una parte del suo controllo fidandosi dei suoi dipendenti.

Per quanto concerne il lato tecnico, i reparti IT si servono di diverse soluzioni per realizzare il concetto BYOD:

• Ostacoli di accesso comuni: le connessioni protette tramite VPN, l’erogazione di servizi limitati così come l’autenticazione a due fattori.
• Soluzioni a container: per garantire la sicurezza dei dati sensibili su dispositivi privati, molte aziende si basano su cosiddetti “container” cifrati. In questo caso si tratta di partizioni isolate e con accesso limitato situate sul disco fisso locale, in cui vengono memorizzati i dati e da cui viene stabilita la connessione alla rete aziendale.
• Mobile Device Management: i software MDM, come AirWatch o MobileIron, servono per l’integrazione centrale e l’amministrazione di dispositivi privati in azienda. Tramite l’interfaccia utente professionale si gestiscono i dati, si installano gli aggiornamenti e si configurano blocchi per connessioni Wi-Fi non sicure e app sconosciute di terze parti. Visto che il lavoratore deve giostrarsi per tenere separate le postazioni di lavoro dalla vita privata e viceversa, il Mobile Device Management va a scapito dell’esperienza utente. Inoltre il controllo maggiore da parte del datore di lavoro ha implicazioni negative sulla sfera privata del dipendente.
• Soluzioni sandbox: un’alternativa utilizzata spesso tra le soluzioni nominate è quella di ricorrere a infrastrutture di desktop virtuali e ad applicazioni web che consentono l’accesso remoto dal dispositivo privato al computer aziendale, evitando così di salvare dati sensibili su dispositivi esterni. Tra questi rientrano i servizi cloud e le piattaforme online di collaborazione come Microsoft Exchange.

Mentre nei mercati che crescono rapidamente, come quello asiatico, è normale lavorare con il proprio computer in azienda, sembrerebbe che l’Italia e il resto d’Europa affrontino questo modello ancora con i piedi di piombo. Come già scritto, ciò dipende da dubbi su sicurezza e questioni giuridiche. Il problema è che il concetto “Bring Your Own Device” non è regolamentato da leggi nazionali e non sono state emesse sentenze al riguardo.

Pertanto non sono ancora state chiarite importanti questioni relative alla responsabilità nel BYOD: ad esempio cosa succede se un server aziendale viene danneggiato da un malware esterno? Chi è responsabile di un notebook privato se viene danneggiato o perso? E chi paga il volume dati consumato durante il lavoro?

Un altro esempio che sottolinea la complessità giuridica della faccenda è riscontrabile nelle licenze: infatti non tutti sanno che usare una licenza privata di Microsoft Office per il lavoro potrebbe avere delle ripercussioni legali. Utilizzare una semplice presentazione PowerPoint durante un meeting aziendale potrebbe essere visto come una violazione del copyright Microsoft. L'acquisizione di licenze aziendali per ciascun dipendente rappresenta quindi un costo aggiuntivo, che si ottiene con “Bring Your Own Device”.

Un altro motivo di discussione sono le questioni fiscali, in particolare in merito allo stipendio, all’IVA e a come devono essere trattati fiscalmente i costi sostenuti per i dispositivi e il potenziamento dell’infrastruttura IT. Per rispondere a queste domande conviene sempre consultare un avvocato.

Basandosi sui punti critici relativi alla tecnologia impiegata dalle istituzioni e dalle aziende e prendendo in considerazione i dubbi sui rischi per la sicurezza e su questioni giuridiche che sorgono adottando il concetto BYOD, è evidente che il modello porti con sé sia vantaggi sia svantaggi. Di seguito vi riassumiamo gli argomenti favorevoli e contrari al fenomeno BYOD:

Il modello BYOD offre indubbiamente molti vantaggi, sia per i dipendenti sia per i datori di lavoro. Tuttavia non si è ancora affermato in Italia, soprattutto per via delle rigide regole riguardanti la tutela dei dati personali. Al contrario negli Stati Uniti, da dove proviene il fenomeno, sembra essersi verificata un’inversione di tendenza. Infatti secondo un sondaggio dell’associazione internazionale nel settore dell’IT, CompTIA, negli ultimi anni l’utilizzo di sistemi BYOD è nettamente diminuito.

Sembrerebbe quindi che l’era dei dispositivi privati in ufficio sia giunta al termine e che al suo posto si siano andati affermando due controfenomeni, che consentono al datore di lavoro un maggiore controllo sui dati:

• Choose Your Own Device (CYOD): i lavoratori possono scegliere tra una vasta gamma di dispositivi quello che preferiscono, che sarà finanziato dall’azienda e che diventerà di loro proprietà. L’utilizzo del dispositivo per scopi privati dovrebbe essere esplicitato all’interno di una policy.
• Corporate Owned, Personally Enabled (COPE): ai lavoratori è esplicitamente consentito di utilizzare un dispositivo aziendale anche per scopi privati. Visto che risultano poi responsabili per la sua configurazione iniziale e il relativo supporto di base, questo principio prevede una determinata abilità tecnica.

Se il fenomeno BYOD scemerà anche da noi prima che si sia affermato veramente, è ancora tutto da vedere.

Vi preghiamo di osservare la nota legale relativa a questo articolo.