G4 Vigilanza News

Controllo Accessi: Come Gestire Ingressi, Badge, Visitatori e Aree Riservate

Ogni ingresso non gestito è una vulnerabilità aperta. Ecco come costruire un sistema di controllo accessi che funziona davvero, dalla reception ai reparti più sensibili.

Una storia che si ripete

Qualche anno fa, una media impresa manifatturiera del Nord Italia scoprì che un ex dipendente – il cui badge non era stato disattivato dopo le dimissioni – aveva avuto accesso al magazzino “prodotti finiti” per tre settimane dopo la fine del rapporto di lavoro. Non risultava nulla di rubato, ma l’azienda non poteva saperlo con certezza. Né sapeva cosa avesse visto, copiato o fotografato.

Non è un caso eccezionale. È la norma.

Il controllo degli accessi è uno di quei temi che le aziende italiane tendono a sottovalutare fino al momento in cui succede qualcosa. Eppure gestire chi entra, dove e quando non è burocrazia: è la base di qualsiasi sistema di sicurezza fisica serio.

Il quadro normativo: non è solo buona pratica, è un obbligo

Prima di parlare di tecnologie e procedure, vale la pena chiarire un punto spesso trascurato: il controllo accessi non è solo una scelta organizzativa, ma in molti casi un obbligo di legge.

D.Lgs. 81/2008 (Testo Unico Sicurezza Lavoro): all’art. 26, impone al datore di lavoro di coordinare le misure di sicurezza quando operano nell’azienda lavoratori di imprese appaltatrici o subappaltatrici. In pratica: sapere chi è fisicamente presente nel sito in ogni momento è un obbligo, non un’opzione. Il mancato controllo degli accessi di ditte esterne e manutentori può configurare responsabilità penale in caso di infortuni.

GDPR (Reg. UE 2016/679): per le aziende che trattano dati personali (praticamente tutte), il principio di “sicurezza fisica dei luoghi di trattamento” impone misure adeguate per impedire accessi non autorizzati ad archivi, server, uffici dove si gestiscono dati sensibili. Il Garante Privacy italiano ha sanzionato diverse aziende proprio per carenze nel controllo accessi fisico a reparti IT e archivi documentali.

Normativa antincendio (DM 3 settembre 2021, Codice di Prevenzione Incendi): impone che in ogni momento sia possibile conoscere il numero di persone presenti nell’edificio per garantire l’efficacia dei piani di evacuazione. Un sistema di controllo accessi che registra ingressi e uscite in tempo reale è lo strumento più efficace per assolvere a questo obbligo.

Contratti assicurativi: molte polizze furto e responsabilità civile contengono clausole che richiedono “misure di controllo degli accessi” come condizione per il risarcimento. In assenza di documentazione degli accessi, dimostrare la “diligenza del custode” in sede di sinistro può diventare molto difficile.

I quattro anelli deboli del controllo accessi

Nella nostra esperienza di sopralluoghi e audit in aziende di diversi settori, abbiamo identificato quattro vulnerabilità ricorrenti che si ripetono indipendentemente dalle dimensioni o dal settore:

1. Badge non disattivati

È il problema più diffuso e sottovalutato. Secondo una ricerca della società di sicurezza HID Global su un campione di aziende europee, il 20% dei badge attivi in un’azienda appartiene a persone che non hanno più diritto di accesso: ex dipendenti, collaboratori con contratto scaduto, fornitori con commessa chiusa. In aziende con alta rotazione (GDO, logistica, sanità) la percentuale può superare il 30%.

La soluzione non è tecnologica, è procedurale: serve un protocollo che preveda la disattivazione del badge come uno dei primi passi nell’offboarding di qualsiasi persona, contestualmente alla restituzione dei DPI e alla firma del documento di fine rapporto.

2. Visitatori “fantasma”

Quante volte avete visto un visitatore firmare il registro all’ingresso, ricevere un badge temporaneo e poi muoversi liberamente nell’azienda senza nessun accompagnatore? O peggio: quante volte il badge visitatore non viene riconsegnato alla fine della visita?

Il dato è emblematico: secondo il Rapporto OSSIF 2024 (l’Osservatorio di ABI sulla sicurezza), gli accessi non autorizzati tramite credenziali di visitatori temporanei rappresentano il vettore di intrusione più comune nelle aziende italiane che hanno subito furti interni o spionaggio industriale.

3. Aree sensibili senza segregazione

Molte aziende hanno un unico livello di accesso: chi entra, entra ovunque. Magazzino, uffici amministrativi, sala server, laboratorio R&D – tutto accessibile con lo stesso badge. Questo approccio “flat” è una vulnerabilità grave: un dipendente della logistica non ha motivo di accedere agli uffici della direzione, così come un commerciale non dovrebbe poter entrare in produzione senza supervisione.

4. Nessun audit dei log

Anche le aziende che hanno sistemi di controllo accessi tecnologicamente validi spesso non li usano. I log (registrazioni di chi ha aperto quale porta e quando) vengono consultati solo dopo un incidente, quando spesso è troppo tardi per prevenire il danno. Analizzare periodicamente i log permette di rilevare anomalie in anticipo: accessi fuori orario, passaggi ripetuti in zone non pertinenti al ruolo, ingressi in aree sensibili in orari di scarsa presenza.

Il sistema: tecnologie disponibili e come scegliere

Non esiste una soluzione universale. La scelta dipende da dimensioni del sito, numero di persone, livello di rischio, budget. Vediamo le opzioni principali:

Badge e lettori RFID/NFC

È la tecnologia più diffusa in ambito aziendale. I badge contactless (basati su standard RFID o NFC) permettono accessi rapidi, sono facili da gestire centralmente e producono log automatici. I sistemi moderni usano crittografia a 128 bit, rendendo praticamente impossibile la clonazione (vulnerabilità dei vecchi sistemi a bassa frequenza, purtroppo ancora diffusi).

Costo orientativo: 150-500€ per lettore, 5-20€ per badge. Un sistema base per una PMI da 50 dipendenti con 5 varchi controllati: 3.000-8.000€ di installazione + canone gestione.

Limite: il badge si presta, si dimentica, si clona (se tecnologicamente obsoleto). Non certifica che sia davvero quella persona.

Biometria

Impronte digitali, geometria della mano, riconoscimento dell’iride: la biometria risolve il problema dell'”identità certa”. Non si può prestare un’impronta digitale. I sistemi moderni sono veloci (0,3-0,5 secondi per verifica), igienici (lettori senza contatto) e molto accurati (tasso di errore inferiore allo 0,01%).

Attenzione GDPR: il dato biometrico è un dato personale di categoria particolare (art. 9 GDPR). Il suo trattamento richiede una base giuridica specifica (generalmente il consenso del dipendente o un accordo sindacale) e misure di sicurezza rafforzate. Prima di installare sistemi biometrici è necessario un parere del DPO aziendale.

Costo orientativo: 300-1000€ per lettore. Ideale per aree ad alto rischio (server room, laboratori, caveau).

Codici PIN

Soluzione economica ma meno sicura: i codici si condividono, si dimenticano, si annotano sul post-it attaccato al monitor. Accettabile per aree a basso rischio, sconsigliata per zone sensibili.

Combinazioni multifattore

Per aree critiche, la soluzione migliore è la combinazione di due fattori: badge + PIN, badge + biometria. Il principio è “qualcosa che hai + qualcosa che sei/sai”. Il costo aumenta, ma anche il livello di sicurezza.

Portierato e reception integrati

La tecnologia da sola non basta, specialmente per i visitatori. Un operatore di portierato/reception qualificato che gestisce il primo accesso, verifica l’identità, assegna badge temporanei profilati e monitora le uscite è un elemento insostituibile per qualsiasi sistema di controllo accessi serio.

Gestione visitatori: il protocollo che fa la differenza

La gestione dei visitatori è l’anello più debole nella maggior parte delle aziende. Ecco il protocollo che raccomandiamo:

Prima della visita:

  • Registrazione anticipata del visitatore nel sistema (nome, documento, azienda, referente interno, scopo visita)

  • Comunicazione al referente interno con promemoria delle responsabilità (l’accompagnatore è responsabile del visitatore per tutta la permanenza)

  • Eventuale NDA o accordo di riservatezza inviato e firmato prima dell’ingresso

All’ingresso:

  • Verifica identità con documento (non solo firma su registro cartaceo)

  • Foto del documento o scansione (per aziende con alto livello di rischio)

  • Assegnazione badge visitatore con profilazione accessi (solo le aree necessarie, non l’intero sito)

  • Indicazione orario di uscita previsto

  • Briefing su regole di sicurezza (aree vietate, norme antincendio, divieto foto)

Durante la visita:

  • Accompagnatore designato sempre presente

  • Badge visitatore visibile (colore diverso da quello dei dipendenti, meglio se con scadenza oraria visibile)

All’uscita:

  • Riconsegna badge (sistemi avanzati bloccano automaticamente il badge alla scadenza oraria)

  • Registrazione orario di uscita

  • Verifica che il visitatore non abbia acceduto ad aree non autorizzate (log del badge)

Aree riservate: come definirle e presidiarle

Non tutte le aree aziendali hanno lo stesso livello di sensibilità. Una delle prime attività di un audit di controllo accessi è la classificazione delle aree per livello di rischio:

Livello Aree tipiche Tecnologia consigliata
1 – Accesso libero Reception, sala attesa, mensa Nessun controllo attivo
2 – Accesso dipendenti Uffici generali, corridoi, magazzini standard Badge RFID base
3 – Accesso limitato Magazzini ad alto valore, archivi, uffici direzione Badge RFID + log obbligatorio
4 – Accesso ristretto Server room, laboratori R&D, caveau, aree produzione sensibile Badge + PIN o biometria
5 – Accesso controllato Locali di sicurezza, archivi dati sensibili, aree con segreto industriale Biometria multifattore + log in tempo reale + supervisione

La mappatura va aggiornata periodicamente: un’area che oggi è “livello 2” può diventare “livello 4” dopo l’installazione di nuovi macchinari o l’avvio di un progetto riservato.

Checklist operativa: il vostro sistema di controllo accessi è adeguato?

Gestione badge:

  • Esiste una procedura formalizzata per l’emissione e la disattivazione dei badge?

  • I badge degli ex dipendenti vengono disattivati entro 24 ore dalla cessazione del rapporto?

  • L’inventario dei badge attivi viene verificato almeno ogni 6 mesi?

  • I badge persi o rubati vengono segnalati e disattivati tempestivamente?

Gestione visitatori:

  • Esiste un registro visitatori (digitale o cartaceo) aggiornato e conservato?

  • I visitatori ricevono badge temporanei con accessi profilati?

  • Ogni visitatore ha un referente interno responsabile per tutta la permanenza?

  • I badge visitatori vengono riconsegnati all’uscita e disattivati automaticamente?

Aree riservate:

  • Le aree aziendali sono classificate per livello di sensibilità?

  • L’accesso a ciascuna area è coerente con le mansioni del personale?

  • I log degli accessi alle aree sensibili vengono analizzati periodicamente?

  • Esiste un sistema di allerta per accessi anomali (fuori orario, area non pertinente)?

Gestione ditte esterne:

  • I manutentori e gli appaltatori hanno badge temporanei con accessi limitati alle aree di lavoro?

  • Esiste un registro degli accessi delle ditte esterne (obbligo D.Lgs. 81/2008)?

  • La presenza di personale esterno in aree sensibili è sempre accompagnata?

Piccola azienda o grande gruppo: il controllo accessi si scala

Una delle obiezioni più comuni che raccogliamo durante i sopralluoghi è: “Siamo una realtà piccola, non abbiamo bisogno di sistemi complessi.”

È una valutazione comprensibile ma spesso sbagliata. La dimensione dell’azienda non riduce il rischio: riduce solo il numero di varchi da controllare. Un’officina da 15 dipendenti con macchinari per 800.000€ ha esigenze di controllo accessi reali, anche se diverse da quelle di un’azienda con 500 persone su più edifici.

La buona notizia è che i sistemi attuali sono modulari e scalabili: si può partire con 2-3 varchi controllati e ampliare progressivamente. I costi sono scesi significativamente negli ultimi anni, rendendo accessibile anche alle PMI una protezione che fino a 10 anni fa era prerogativa delle grandi imprese.

Il controllo accessi non è un progetto: è un processo

L’errore più comune è trattare il controllo accessi come un progetto con inizio e fine: “installiamo il sistema, problema risolto.” Non funziona così.

Un sistema di controllo accessi efficace richiede manutenzione procedurale continua: aggiornamento dei profili quando cambiano i ruoli, revisione periodica dei log, test dei dispositivi, formazione del personale nuovo, aggiornamento del sistema quando cambiano i rischi.

Chi si occupa internamente di questo? Spesso nessuno, perché non è mai stato formalmente assegnato a una figura specifica. Prima ancora della tecnologia, la priorità è nominare un responsabile del controllo accessi (che può coincidere con il RSPP, il responsabile HR o il security manager, a seconda delle dimensioni aziendali) e attribuirgli compiti, tempi e strumenti chiari.

Non serve creare una nuova figura dedicata: in molte PMI il responsabile del controllo accessi è già il responsabile HR, che gestisce le assunzioni e le cessazioni, oppure il RSPP, che ha già visibilità sui rischi legati agli accessi. Quello che manca, quasi sempre, non è la persona giusta — è il mandato formale e la procedura scritta che la accompagna.

G4 Vigilanza supporta le aziende nella progettazione e gestione del controllo accessi con sopralluoghi gratuiti, audit di sicurezza, servizi di portierato integrati con tecnologia e consulenza normativa.

Vuoi sapere quante porte aperte ha la tua azienda? Richiedi un audit gratuito del tuo sistema di controllo accessi. Interveniamo su siti di ogni dimensione in Lombardia e nel Nord Italia.

Contattaci:

chiama 030 3512315, scrivi a  info@g4vigilanza.it, oppure compila il form di contatto qui sotto.

Torna su