Il capo mi spia?

Indice

Alissa non era certo un’ingenua. Fin dal primo giorno di lavoro aveva capito che l’attrezzatura informatica fornita dall’azienda tanto munifica non era sua. Dal portatile aziendale che si portava a casa allo smartphone che cambiava ogni sei mesi al massimo, sapeva bene che era il caso di fare attenzione e di non usarli per qualsiasi cosa o con chiunque. Perché il suo capo aveva il diritto, così diceva la legge, di tenere sotto controllo le macchine che le metteva a disposizione, per evitare abusi.

Alissa si era quindi abituata a separare gli usi, quasi puntigliosamente. Aveva due diversi indirizzi e-mail che utilizzava per diversi corrispondenti. Se qualche amico le scriveva sulla sua casella professionale, lei girava il messaggio sulla sua casella personale con la menzione «Personale», e lo cancellava dall’altra casella di lavoro. Non voleva correre alcun rischio. Se aveva voglia di fare un giro su Facebook durante la pausa, lo faceva dal suo smartphone, con il suo accesso 4G e non utilizzando la connessione wi-fi gratuita dell’ufficio, o peggio ancora lo smartphone aziendale. «Porta il tuo dispositivo personale!» era diventato lo slogan di un’epoca in cui gli scandali sullo spionaggio sul posto di lavoro si susseguivano, molto simili fra di loro.

Ma non era sempre facile attenersi a questo tipo di regole. Alissa lo sapeva bene. Una sera, dopo una buona mezz’ora di esitazione, aveva usato il computer di lavoro per guardare la sua serie TV preferita in streaming. Niente di molto grave, a parte il fatto che stava utilizzando una piattaforma di distribuzione non proprio legale. Almeno non nel suo Paese.

Alissa sapeva infatti che il copyright infringement, la fruizione e distribuzione di contenuti protetti da copyright, era un reato penale, per quanto assurdo le potesse sembrare. Naturalmente, era a casa sua e aveva utilizzato la sua connessione di casa per connettersi alla piattaforma. Una volta completato l’episodio, CTRL-Maiusc-CANC (Firefox), la cronologia di navigazione era stata cancellata al volo. Nessuno aveva visto nulla, nessuno l’aveva saputo! Probabilmente Alissa non avrebbe avuto problemi con il suo capo.

D’altra parte, con l’esperienza si era ben resa conto che le regole di compartimentazione che si era prefissata non erano applicabili ovunque e in ogni situazione. Aveva cercato di guardare quell’episodio della serie sul suo personal computer, ma non funzionava.

Dopo qualche ipotesi smentita, aveva scoperto la ragione: a partire da quello che sembrava un problema di plug-in del browser, era passata a un altro browser, scoprendo così che si trattava di un vero e proprio bug che affliggeva l’ultimo driver della scheda video. Impossibile trovare una soluzione al volo. Quasi un’ora passata a cercare di risolvere il problema senza successo, la suspense per la serie che la attendeva, la certezza di poter guardare l’ultimo episodio uscito senza correre realmente un rischio professionale, con un banale click….. Tutti gli ingredienti erano lì per condurre Alissa sulla via della contraddizione.

Un giorno, in ufficio, Alissa notò uno strano fenomeno. Mentre le sue mani erano occupate a girare le pagine del gigantesco resoconto cartaceo che doveva sintetizzare, scorse il puntatore del mouse muoversi da solo. Eppure non aveva toccato o urtato inavvertitamente il tavolo su cui si trovava il portatile. Troppo immersa nel suo lavoro per prestare attenzione, si convinse di essersi immaginata tutto. Ma si rese presto conto che il mouse ballerino era un fenomeno assolutamente reale, non se lo stava sognando! Senza farsi prendere dal panico, approfittò della pausa per parlarne con il collega Giosuè. Lui le rispose con un’aria di sufficienza:

«Ma come, non lo sapevi? Ci spiano sempre, in continuazione. Ne ho parlato con Michele, hai presente, l’informatico che a volte vediamo nei corridoi, il piccoletto che non parla molto e pare solo in attesa della pensione, beato lui. Mi ha detto che tutti i nostri computer possono essere controllati in ogni momento. Il reparto IT non solo può vedere ciò che accade sui nostri schermi, ma anche utilizzare le nostre macchine a distanza. E se il capo vuole vedere cosa stiamo facendo, deve solo chiedere. Da quello che mi ha detto Michele, gli informatici non hanno alcun interesse a tirarsi indietro e impedirglielo!»

Alissa sapeva che tutto questo era più o meno possibile a livello tecnico, ma rimase scettica: «È illegale!», rispose a Giosuè. «Se fosse vero, dovremmo fare subito qualcosa, parlare con i sindacati o semplicemente citarli in giudizio!»

Determinata a conoscere la verità, Alissa si recò nell’ufficio del dipartimento IT. Come la maggior parte dei dipendenti, non ci aveva mai messo piede. Erano piuttosto gli informatici a farsi vedere quando gli altri avevano problemi. Bussò, quindi aprì timidamente la porta. In un angolo della stanza buia, cullato dalle fusa delle ventole, vide Michele. Gli raccontò tutto quello che Giosuè le aveva detto e aggiunse che aveva visto il suo mouse muoversi da solo. Michele le rispose con calma: «Ovvio, abbiamo accesso completo a tutte le macchine, ma lo usiamo solo per i lavori di manutenzione. Con tutto quello che abbiamo da fare non perdiamo certo tempo a spiarvi.»

Alissa uscì sconsolata. Non sapeva cosa pensare. Non era più certa di nulla, tranne di una cosa: da un punto di vista tecnico, c’era una zona grigia tra spionaggio e rispetto della privacy. E si trovò a sperare che il suo capo fosse onesto, ma la speranza si sa, è (quasi) sempre stata una trappola.

Capire

La questione dello spionaggio sul posto di lavoro era davvero spinosa. A un estremo, alcuni dipendenti usavano le attrezzature dell’azienda per fare di tutto, tranne quello per cui erano pagati; all’altro estremo, alcuni (molti) datori di lavoro approfittavano del loro diritto di controllo per violare spudoratamente la privacy dei loro dipendenti.

Da un punto di vista legale, il manager di un’azienda che forniva attrezzature informatiche (e questo valeva anche per gli smartphone) o una connessione a Internet poteva limitare, modificare, modellare radicalmente le condizioni di utilizzo. Aveva il diritto di limitare, attraverso tutti i tipi di dispositivi, l’accesso a determinati siti o caselle postali personali. Poteva anche proibire il download.

Anche gli strumenti di amministrazione remota che permettono il controllo in rete di un computer a scopo di manutenzione erano completamente legali. A seconda del software e delle configurazioni, offrivano anche possibilità di monitoraggio più o meno ampie. Altri software più invasivi, come keylogger*, erano vietati (salvo casi eccezionali giustificati da un «forte imperativo di sicurezza»).

I diritti e i doveri del datore di lavoro e dei dipendenti avrebbero dovuto, in ogni caso, essere chiaramente definiti e inclusi nella carta informatica dell’azienda o in simili comunicazione trasparenti e chiare. I dipendenti avrebbero dovuto indicare chiaramente il loro uso personale delle attrezzature professionali. La stessa trasparenza avrebbe dovuto prevalere nelle procedure di controllo effettuate dal datore di lavoro.

D’altro canto è anche vero che nella maggior parte dei casi, specialmente nelle aziende più piccole, i lavoratori non avevano a disposizione strumenti aziendali ma erano costretti a utilizzare i propri dispositivi personali.

Buone pratiche

  • L’attrezzatura di lavoro non è tua. Anche se la tentazione a volte è grande, preferite sempre i vostri dispositivi e le connessioni per uso personale.
  • Se utilizzate l’attrezzatura informatica della vostra azienda senza abusarne, fatelo chiaramente. Aggiungete, ad esempio, la dicitura «personale» all’oggetto delle vostre e-mail e ai nomi dei file.
  • In caso di problemi comprovati, è possibile anche rivolgersi alle autorità competenti. In Italia citiamo Ispettorato del lavoro, Procura o Commissione nazionale per l’informatica e la libertà.

La parola alla hacker

Per poter lavorare su server remoti in ambienti che bloccano porte criptate SSH, è possibile installare un servizio SSH raggiungibile via web, come shell in a box o simili. Ci vuole un server o altro servizio appositamente configurato da fuori! Attenzione, il tunnelling sarà difficile o impossibile e potrebbero manifestarsi altre limitazioni di sicurezza!