Articolo a cura di: Redazione - Studio Legale Calvello
Perché gli account condivisi in azienda possono diventare un problema legale molto serio
In molte aziende, soprattutto nelle realtà operative più dinamiche o nelle PMI, l’utilizzo di account condivisi viene spesso percepito come una soluzione pratica. Un unico accesso al gestionale, una casella email utilizzata da più collaboratori, credenziali comuni per piattaforme operative o software amministrativi: all’apparenza, tutto questo sembra semplificare il lavoro quotidiano.
Il problema è che ciò che appare comodo sotto il profilo organizzativo può trasformarsi in una fonte concreta di rischio sotto il profilo giuridico, privacy e sicurezza informatica.
Quando più persone utilizzano le stesse credenziali, viene meno un principio essenziale nella corretta gestione dei dati aziendali: la tracciabilità delle operazioni.
In termini pratici, significa che se un dato personale viene consultato, modificato, esportato o cancellato, l’azienda potrebbe non essere in grado di dimostrare chi abbia compiuto materialmente quell’azione.
Ed è proprio qui che nasce una criticità importante.
Il GDPR impone alle imprese non soltanto di proteggere i dati personali, ma anche di adottare misure tecniche e organizzative adeguate per garantire sicurezza, controllo e responsabilizzazione interna.
Un account condiviso, salvo casi molto particolari e rigorosamente gestiti, compromette questa architettura.
Pensiamo ad un caso semplice.
Un dipendente accede al CRM aziendale utilizzando credenziali comuni con altri colleghi. Da quell’account vengono esportati dati di clienti senza autorizzazione. Successivamente emerge una contestazione privacy o addirittura un data breach.
La prima domanda che verrà posta sarà molto semplice:
chi ha effettuato quell’operazione?
Se la risposta dell’azienda è “non possiamo saperlo perché l’account era condiviso”, il problema diventa immediatamente serio.
Non si tratta solo di una questione tecnica.
Si tratta di responsabilità aziendale.
Lo stesso rischio riguarda caselle email condivise, accessi ERP, software contabili, strumenti cloud, piattaforme di ticketing o applicativi interni.
Per chi gestisce infrastrutture digitali, può essere utile approfondire anche il tema della protezione degli accessi nei sistemi gestionali in https://www.studiolegalecalvello.it/erp-protezione-dati/ e quello relativo alle password aziendali: https://www.studiolegalecalvello.it/password-aziendali-sicurezza/.
Come studio legale, vediamo spesso un errore ricorrente: l’azienda considera il rischio solo quando emerge un incidente.
Ma quando si arriva a quel punto, intervenire diventa molto più complesso, costoso e delicato.
Quali responsabilità corre l’azienda quando più persone usano lo stesso account
Quando si parla di account condivisi in azienda, l’errore più comune è considerare il tema come una semplice scelta organizzativa interna. In realtà, sotto il profilo giuridico, la questione è molto più delicata, perché tocca direttamente la responsabilità del titolare del trattamento nella gestione dei dati personali.
Un’impresa che consente a più collaboratori di utilizzare le stesse credenziali non sta soltanto adottando una prassi operativa discutibile: sta creando una situazione nella quale diventa estremamente difficile, e in alcuni casi impossibile, dimostrare il corretto governo degli accessi ai dati.
Questo aspetto è centrale.
La normativa privacy non richiede solo di “proteggere” genericamente le informazioni aziendali, ma impone che i sistemi siano progettati in modo da garantire controllo, limitazione degli accessi, accountability e capacità di ricostruzione degli eventi in caso di anomalie.
In altre parole, se un accesso avviene, deve essere possibile comprendere chi lo ha effettuato, con quale livello autorizzativo e per quale finalità.
Con un account condiviso, questo principio viene inevitabilmente indebolito.
Immaginiamo un’azienda nella quale tre dipendenti utilizzano lo stesso accesso al software gestionale commerciale.
Uno di loro esporta l’intero database clienti su un dispositivo esterno.
Successivamente emerge una contestazione: magari un cliente lamenta un utilizzo improprio dei propri dati, oppure l’azienda rileva una fuoriuscita informativa.
A quel punto la domanda non sarà teorica, ma estremamente concreta:
chi ha materialmente eseguito quell’operazione?
Se il sistema registra soltanto un accesso generico riconducibile ad un’identità condivisa, l’azienda si trova in una posizione di evidente debolezza.
Questo problema non riguarda solo il GDPR in senso stretto.
Riguarda anche la governance interna, la sicurezza informatica, la tutela del patrimonio aziendale e persino eventuali profili lavoristici.
Se un collaboratore agisce impropriamente usando credenziali condivise, la ricostruzione della responsabilità individuale diventa complessa. E quando manca la prova tecnica, il danno organizzativo può essere significativo.
Il rischio aumenta ulteriormente quando parliamo di ex dipendenti o collaboratori cessati.
In molte aziende, soprattutto quelle cresciute rapidamente, capita che account storici restino attivi, password non vengano cambiate tempestivamente o accessi condivisi continuino ad essere utilizzati per comodità.
Questa situazione crea un’esposizione concreta ad accessi non autorizzati.
Abbiamo approfondito proprio il tema dell’accesso agli strumenti aziendali dopo la cessazione del rapporto lavorativo nell’articolo Accesso email lavoratore licenziato: violazione privacy:
https://www.studiolegalecalvello.it/accesso-email-lavoratore-licenziato-violazione-privacy/
Allo stesso modo, per comprendere come impostare correttamente un’organizzazione conforme, può essere utile il contributo dedicato all’adeguamento GDPR per le imprese:
https://www.studiolegalecalvello.it/adeguamento-gdpr-pmi-cosa-serve-davvero/
C’è poi un ulteriore profilo che molte imprese sottovalutano.
Gli account condivisi alterano anche il corretto funzionamento dei log.
Se il sistema registra eventi, modifiche o accessi, ma tutti riconducibili ad una stessa utenza indistinta, il valore probatorio e organizzativo di quelle registrazioni si riduce drasticamente.
Per questo motivo la gestione dei log non può essere considerata un dettaglio tecnico, ma parte integrante della compliance aziendale, come approfondiamo in Log di accesso ai server: cosa conservare:
https://www.studiolegalecalvello.it/log-accesso-server-conservazione/
In definitiva, il punto non è stabilire se un account condiviso “funzioni” dal punto di vista operativo.
Il vero punto è un altro:
l’azienda sarebbe in grado di spiegare e difendere quella scelta davanti ad una contestazione, un audit o una violazione dei dati?
Molto spesso, la risposta sincera è no.
Come gestire correttamente gli accessi aziendali senza esporre l’impresa a rischi privacy e di sicurezza
Quando un’azienda scopre che l’utilizzo di account condivisi rappresenta un problema, la domanda successiva è quasi sempre la stessa: quale soluzione concreta adottare senza rallentare l’operatività?
È una domanda legittima.
Perché nella realtà aziendale il tema non si affronta in astratto, ma dentro esigenze quotidiane molto concrete: velocità operativa, continuità del lavoro, turnazioni, collaboratori che entrano ed escono, software legacy poco flessibili, caselle email operative utilizzate da più reparti.
Proprio per questo, affrontare la questione in modo puramente teorico sarebbe poco utile.
Il punto centrale non è complicare la vita all’impresa.
Il punto è costruire un sistema che consenta all’azienda di lavorare bene senza creare vulnerabilità giuridiche, organizzative e informatiche.
La prima regola, apparentemente semplice ma spesso disattesa, è questa: ogni persona dovrebbe operare con credenziali individuali, nominative e coerenti con il proprio ruolo.
Questo principio consente di attribuire responsabilità, limitare gli accessi al necessario e ricostruire gli eventi in caso di anomalie.
Non si tratta di formalismo.
Si tratta di controllo reale.
Un collaboratore amministrativo non dovrebbe avere gli stessi privilegi del reparto IT. Un commerciale non dovrebbe poter accedere a informazioni che non rientrano nella propria funzione. Un ex consulente non dovrebbe conservare accessi attivi settimane o mesi dopo la cessazione del rapporto.
Questa impostazione si collega direttamente al principio di minimizzazione e alla corretta organizzazione del trattamento dei dati.
Per chi desidera comprendere meglio la struttura documentale che accompagna queste scelte, può essere utile approfondire anche il tema dei documenti obbligatori privacy aziendale attraverso questo contenuto:
https://www.studiolegalecalvello.it/documenti-obbligatori-privacy-aziendale/
Un altro aspetto spesso sottovalutato riguarda le password.
Anche dove esistono account nominali, capita frequentemente che le credenziali vengano comunicate informalmente tra colleghi, annotate in modo insicuro o riutilizzate tra diversi sistemi.
In questi casi il rischio resta elevato.
Abbiamo affrontato in dettaglio questo tema nell’approfondimento dedicato a Password aziendali: regole essenziali di sicurezza:
https://www.studiolegalecalvello.it/password-aziendali-sicurezza/
Esistono poi situazioni particolari che meritano una distinzione.
Pensiamo, ad esempio, alle caselle operative come info@, commerciale@ o assistenza@.
Molte aziende ci chiedono se questi strumenti siano vietati.
La risposta, in termini assoluti, è no.
Una mailbox funzionale condivisa può essere compatibile con una corretta organizzazione aziendale, ma a condizione che il sistema di accesso sia governato in modo adeguato, che i soggetti autorizzati siano chiaramente individuati e che vi siano regole precise sulla gestione dei dati trattati.
Diverso è il caso in cui una casella individuale diventi di fatto accessibile indiscriminatamente.
Qui il rischio cresce sensibilmente.
Lo stesso ragionamento vale per ERP, CRM, software contabili, piattaforme cloud e applicativi interni.
Se il sistema tecnologico non consente una gestione granulare degli accessi, il problema non si risolve “adattandosi”.
Si risolve intervenendo sull’organizzazione o sull’infrastruttura.
Su questo punto può essere utile leggere anche gli approfondimenti su Software gestionali ERP: protezione dei dati aziendali
https://www.studiolegalecalvello.it/erp-protezione-dati/
e Software contabili: gestione privacy e sicurezza
https://www.studiolegalecalvello.it/software-contabili-privacy/
Un’impresa realmente strutturata dovrebbe inoltre prevedere procedure chiare per:
disattivazione immediata degli accessi alla cessazione del rapporto,
revisione periodica dei privilegi,
monitoraggio coerente dei log,
autenticazione robusta,
gestione documentata delle autorizzazioni interne.
Su quest’ultimo punto è particolarmente utile il contenuto dedicato al monitoraggio dei log informatici aziendali
https://www.studiolegalecalvello.it/monitoraggio-log-informatici-privacy/
Perché il vero errore non è solo condividere un account.
Il vero errore è costruire un sistema nel quale, in caso di incidente, nessuno riesca più a capire cosa sia accaduto.
Ed è proprio in quei momenti che le scelte organizzative apparentemente marginali diventano questioni legali molto concrete.
Cosa fare se in azienda gli account condivisi esistono già e nessuno ha mai affrontato davvero il problema
Una delle situazioni che incontriamo più frequentemente è questa: l’imprenditore o il responsabile interno comprende il rischio degli account condivisi, ma si rende conto che quella prassi esiste da anni e che, nel tempo, è diventata una consuetudine operativa quasi invisibile.
È uno scenario molto più comune di quanto si immagini.
Spesso non nasce da negligenza deliberata, ma da crescita aziendale rapida, cambi di personale, software implementati senza una governance precisa, consulenti esterni che hanno impostato sistemi provvisori poi diventati definitivi, oppure dalla convinzione — piuttosto diffusa — che finché non accade nulla, il problema non esista davvero.
Ed è proprio questo il punto critico.
Nel settore privacy e cybersecurity, molte vulnerabilità restano silenziose per mesi o anni, fino al momento in cui emerge un incidente, un controllo, una contestazione interna o una violazione dei dati.
A quel punto intervenire è inevitabilmente più complesso.
Se in azienda oggi esistono account condivisi, la prima cosa utile da fare non è creare panico o adottare misure improvvisate.
Serve invece una ricognizione seria.
Bisogna comprendere con precisione dove esistano accessi condivisi, quali sistemi siano coinvolti, quali dati vengano trattati, chi utilizzi concretamente quelle credenziali e quale livello autorizzativo abbiano.
Molte aziende scoprono, durante questa fase, situazioni ben più critiche di quelle inizialmente percepite.
Può emergere, ad esempio, che vecchie utenze amministrative siano ancora attive, che consulenti esterni mantengano accessi non più necessari, che password comuni siano conosciute da soggetti ormai usciti dall’organizzazione o che piattaforme cloud siano utilizzate da più persone senza alcuna tracciabilità reale.
In casi del genere, il problema non è soltanto teorico.
Il rischio può diventare immediatamente operativo.
Pensiamo, ad esempio, ad un accesso non autorizzato ad un database clienti, alla cancellazione accidentale di dati, all’estrazione impropria di documenti o ad un incidente informatico che coinvolga credenziali già compromesse.
Quando si verificano eventi di questo tipo, diventa fondamentale sapere come reagire correttamente, anche sotto il profilo documentale e procedurale.
Per questo motivo può essere utile approfondire contenuti strettamente collegati come Data breach: cosa fare in caso di violazione dei dati
https://www.studiolegalecalvello.it/data-breach-cosa-fare/
oppure Procedura interna per la gestione delle violazioni privacy
https://www.studiolegalecalvello.it/procedura-violazioni-privacy/
Un altro errore frequente consiste nel tentare soluzioni apparenti.
Cambiare semplicemente una password senza ripensare la struttura degli accessi raramente risolve il problema.
Così come non basta comunicare verbalmente nuove regole interne se non esiste una reale implementazione tecnica e organizzativa coerente.
Serve un approccio più strutturato.
Occorre verificare se i sistemi in uso consentano credenziali individuali, ruoli differenziati, registrazione degli accessi, autenticazione rafforzata e procedure di revoca immediate.
Se questo non è possibile, bisogna interrogarsi sull’adeguatezza stessa dell’infrastruttura.
Abbiamo affrontato questi profili più ampi anche nell’approfondimento dedicato alla sicurezza informatica aziendale e protezione dei dati
https://www.studiolegalecalvello.it/privacy-sicurezza-aziendale-informatica-aziende-attacchi-informatici/
C’è poi un aspetto spesso trascurato, ma giuridicamente molto rilevante.
Quando una criticità è nota internamente e viene ignorata nel tempo, il profilo di responsabilità può aggravarsi.
In altre parole: sapere che il problema esiste e non affrontarlo non mette l’azienda in una posizione neutra.
La espone.
Per questo motivo, se oggi l’organizzazione utilizza account condivisi, la domanda corretta non è:
“Possiamo continuare così finché non succede nulla?”
La domanda corretta è:
“Se domani dovessimo giustificare questa scelta davanti ad una contestazione concreta, saremmo davvero in grado di farlo?”
Molto spesso, la risposta onesta impone un intervento immediato.
Un esempio pratico: quando un semplice account condiviso può trasformarsi in un problema molto costoso
Immaginiamo una situazione assolutamente ordinaria, simile a quelle che molte imprese vivono quotidianamente.
Una PMI utilizza un software gestionale per amministrazione, fatturazione e archivio clienti.
Per ragioni di praticità, negli anni, più collaboratori hanno iniziato ad utilizzare lo stesso account operativo. La logica iniziale era semplice: evitare perdite di tempo, garantire continuità, consentire a chiunque del reparto di intervenire rapidamente.
All’apparenza, nessun problema.
Per mesi — forse anni — il sistema funziona.
Poi accade qualcosa.
Un cliente segnala anomalie nell’utilizzo dei propri dati. Internamente emerge che alcune informazioni risultano esportate dal gestionale. In parallelo, l’azienda scopre che un ex collaboratore, uscito mesi prima, conosceva ancora le credenziali utilizzate operativamente dal reparto.
A quel punto iniziano le domande reali.
Chi ha effettuato l’accesso?
Quando è avvenuta l’operazione?
L’azione è stata compiuta da personale autorizzato?
L’accesso è stato interno o esterno?
Le credenziali erano state correttamente aggiornate?
Chi era responsabile della loro gestione?
Ed è qui che molte imprese si accorgono del vero problema.
Perché se il sistema registra soltanto un’identità condivisa, la ricostruzione tecnica degli eventi diventa fragile.
Non si tratta più di un semplice tema organizzativo.
Diventa una questione di responsabilità, gestione del rischio, protezione dei dati e difesa dell’azienda.
In uno scenario del genere, potrebbe rendersi necessario attivare immediatamente una valutazione interna sull’evento, verificare se esista una violazione di dati personali e comprendere se vi siano obblighi ulteriori di gestione documentale o comunicativa.
Per approfondire questi passaggi, può essere utile consultare anche Come notificare correttamente un data breach al Garante
https://www.studiolegalecalvello.it/notifica-data-breach-garante/
e Data breach: quando informare gli interessati
https://www.studiolegalecalvello.it/data-breach-informare-interessati/
C’è poi un ulteriore profilo, spesso ancora più delicato.
Se l’azienda non riesce a distinguere chi abbia materialmente operato, potrebbe trovarsi in difficoltà non solo verso l’esterno, ma anche internamente.
Pensiamo a contestazioni disciplinari, errori amministrativi, cancellazioni accidentali di documenti, invii impropri di comunicazioni commerciali o utilizzo scorretto di dati sensibili.
Senza identità individuali, ogni ricostruzione diventa più incerta.
E quando manca certezza tecnica, aumentano costi, tempi, esposizione reputazionale e rischio giuridico.
Questo esempio non rappresenta un’ipotesi estrema.
Rappresenta esattamente il tipo di criticità che molte aziende scoprono solo quando il problema è già emerso.
Il vero errore, quasi sempre, non è l’incidente in sé.
Il vero errore è aver costruito un sistema che rende quell’incidente difficile da governare.
Le domande più frequenti sugli account condivisi in azienda e sulla conformità privacy
Una delle domande che ci viene posta più spesso riguarda la liceità stessa degli account condivisi.
Gli account condivisi in azienda sono sempre vietati?
Una risposta semplicistica sarebbe poco utile.
Non ogni situazione organizzativa in cui più soggetti operano su uno stesso strumento è automaticamente illecita. Pensiamo, ad esempio, a determinate caselle funzionali o a contesti operativi particolari nei quali l’organizzazione degli accessi è progettata in modo coerente.
Il vero discrimine non è l’esistenza materiale di uno strumento condiviso.
Il punto è comprendere se l’azienda riesca comunque a garantire controllo, sicurezza, tracciabilità, limitazione degli accessi e protezione dei dati personali.
Quando questi presupposti vengono meno, il rischio cresce sensibilmente.
Condividere le password aziendali tra colleghi è una prassi accettabile?
Dal punto di vista del rischio organizzativo e privacy, questa è una delle abitudini più problematiche.
Una password condivisa elimina distinzione tra responsabilità individuali, rende opaca la ricostruzione tecnica degli eventi e amplia inutilmente la superficie di esposizione.
Abbiamo approfondito questo tema in modo specifico nell’articolo dedicato a Password aziendali: regole essenziali di sicurezza
https://www.studiolegalecalvello.it/password-aziendali-sicurezza/
In termini pratici, più soggetti conoscono la stessa credenziale, maggiore è la probabilità che l’azienda perda il controllo reale dell’accesso.
Cosa succede se un ex dipendente conserva le credenziali aziendali?
Questa è una delle situazioni più delicate.
Molti imprenditori tendono a considerarla una mera dimenticanza organizzativa.
In realtà, può diventare un problema estremamente serio.
Se un soggetto non più autorizzato mantiene accesso a sistemi, email o archivi aziendali, l’impresa può trovarsi esposta a accessi non autorizzati, perdita di informazioni, contestazioni interne o veri e propri incidenti privacy.
Su questo specifico tema può essere utile leggere anche Accesso email lavoratore licenziato: violazione privacy
https://www.studiolegalecalvello.it/accesso-email-lavoratore-licenziato-violazione-privacy/
Basta cambiare le password per risolvere il problema?
Molto spesso no.
Cambiare una password può essere una misura utile, ma raramente rappresenta una soluzione strutturale.
Se il modello organizzativo continua a basarsi su utenze condivise, autorizzazioni poco chiare o accessi non governati, il rischio resta.
La sicurezza reale nasce dalla corretta architettura dei processi, non da interventi isolati.
Un controllo privacy può contestare questi aspetti?
Assolutamente sì.
La gestione degli accessi rientra pienamente nei profili di sicurezza organizzativa e protezione dei dati.
Se l’azienda non riesce a dimostrare chi accede ai sistemi, come vengono attribuiti i privilegi o come si prevengono accessi impropri, la criticità può emergere con forza in sede di audit, verifica interna o gestione di un incidente.
Per comprendere meglio l’impatto organizzativo più ampio, può essere utile approfondire anche Sanzioni GDPR: come evitarle nelle aziende
https://www.studiolegalecalvello.it/sanzioni-gdpr-come-evitarle-aziende/
La domanda più importante, in fondo, non è se oggi “tutto stia funzionando”.
La domanda davvero rilevante è se il vostro sistema reggerebbe quando qualcuno iniziasse a fare domande precise.
Proteggere l’azienda oggi significa prevenire problemi domani: quando una consulenza preventiva può fare la differenza
Molte aziende arrivano ad affrontare il tema degli account condivisi solo quando qualcosa è già accaduto.
Un accesso anomalo.
Una perdita di dati.
Un collaboratore che lascia l’impresa mantenendo credenziali attive.
Una contestazione interna.
Un controllo documentale.
Oppure, più semplicemente, quel momento in cui l’imprenditore o il responsabile comprende che l’organizzazione digitale costruita nel tempo non è mai stata realmente verificata sotto il profilo della conformità privacy e della sicurezza operativa.
È una situazione più frequente di quanto si creda.
E non riguarda necessariamente aziende disorganizzate.
Anzi, spesso interessa realtà perfettamente operative, produttive e ben strutturate commercialmente, ma cresciute rapidamente, con sistemi implementati in momenti diversi, software introdotti per esigenze immediate e procedure interne che si sono consolidate più per abitudine che per una scelta realmente governata.
Il problema è che il GDPR, la sicurezza informatica e la corretta gestione dei dati non valutano la “buona fede organizzativa”.
Valutano la sostanza.
Se un sistema espone l’azienda a rischi evitabili, quella vulnerabilità esiste indipendentemente dalle intenzioni con cui si è creata.
Ed è proprio qui che una consulenza preventiva cambia radicalmente prospettiva.
Perché attendere il problema significa quasi sempre affrontarlo in condizioni peggiori: con tempi stretti, pressioni operative, rischi reputazionali, costi superiori e margini decisionali più ridotti.
Intervenire prima, invece, consente di costruire una governance coerente.
Non si tratta semplicemente di “sistemare password”.
Si tratta di comprendere se l’azienda abbia realmente controllo sugli accessi, sulle autorizzazioni, sui flussi informativi, sulle utenze attive, sui sistemi legacy e sulle procedure di gestione degli incidenti.
Per molte imprese questo significa affrontare anche questioni collegate che emergono quasi sempre insieme: gestione delle richieste privacy, adeguatezza documentale, ruoli interni, procedure data breach, misure di sicurezza tecniche e organizzative.
Per approfondire questi profili può essere utile consultare anche Documenti obbligatori privacy aziendale
https://www.studiolegalecalvello.it/documenti-obbligatori-privacy-aziendale/
oppure Adeguamento GDPR PMI: cosa serve davvero
https://www.studiolegalecalvello.it/adeguamento-gdpr-pmi-cosa-serve-davvero/
Come studio legale, assistiamo imprese che desiderano prevenire criticità prima che si trasformino in problemi concreti, ma anche aziende che si trovano già ad affrontare situazioni delicate che richiedono un intervento rapido, tecnicamente corretto e giuridicamente ben impostato.
Ogni organizzazione ha caratteristiche differenti.
Una PMI manifatturiera non presenta le stesse criticità di una struttura sanitaria, di una società commerciale o di un’azienda fortemente digitalizzata.
Per questo motivo le soluzioni standardizzate raramente sono sufficienti.
Quando il tema riguarda accessi aziendali, sicurezza dei dati, governance interna e responsabilità privacy, l’approccio corretto è sempre quello costruito sulla realtà concreta dell’impresa.
Se desiderate verificare se la vostra organizzazione presenti vulnerabilità nella gestione degli account, delle credenziali o degli accessi ai dati aziendali, potete richiedere una consulenza dedicata attraverso la pagina dello Studio Legale Calvello
https://www.studiolegalecalvello.it/consulenza-studio-legale/
