Loogico
Demo
RBAC sicurezza GDPR gestionale agenzie energia

RBAC: perché i permessi utente contano (anche nelle PMI)

Role-Based Access Control spiegato senza gergo tecnico. Come decidere chi può fare cosa nel tuo gestionale — e perché è un requisito GDPR, non solo una funzionalità avanzata.

Team Loogico · · 4 min di lettura

“RBAC” è un acronimo tecnico che sta per Role-Based Access Control — controllo degli accessi basato su ruoli. In italiano semplice: decidi tu chi può fare cosa nel tuo software.

Sembra una funzionalità per grandi aziende. Non lo è. È qualcosa che ogni agenzia con più di una persona ha bisogno di gestire — e che il GDPR, in qualche modo, richiede.

Il problema che RBAC risolve

Immagina di avere 3 persone nel tuo team:

  • Marco, agente commerciale sul campo
  • Luisa, responsabile amministrativa
  • Tu, titolare

Oggi, probabilmente, tutti e tre hanno accesso agli stessi dati. Marco può vedere le fatture (che riguardano Luisa), Luisa può vedere i contratti degli agenti (che riguardano Marco), e tu vedi tutto.

Questo va bene finché tutti si fidano di tutti. Ma:

  • Cosa succede se Marco lascia l’azienda e prima di andare scarica tutti i dati dei clienti?
  • Cosa succede se Luisa fa un errore e cancella una fattura del mese scorso?
  • Cosa succede se fai una verifica GDPR e devi dimostrare chi aveva accesso ai dati personali dei clienti?

RBAC risolve queste situazioni in modo strutturato.

Come funziona nella pratica

Il modello base è semplice:

  1. Definisci i ruoli (es. Agente, Amministrativo, Manager, Admin)
  2. Associa a ogni ruolo le capability che gli sono consentite (es. “può creare ordini”, “può emettere fatture”, “può cancellare clienti”)
  3. Assegni ogni utente a un ruolo

Da quel momento in poi, ogni azione nel sistema verifica se l’utente ha il permesso necessario. Se non ce l’ha, l’azione è bloccata.

Le capability che contano per un’agenzia energia

In un gestionale per il settore energia, le capability critiche sono:

CapabilityChi dovrebbe averla
Visualizzare dati clienteTutti
Modificare dati clienteAgenti, Admin
Cancellare clienteSolo Admin
Creare fatturaAmministrativo, Admin
Annullare fatturaSolo Admin
Visualizzare tutti gli agentiManager, Admin
Esportare dati (CSV)Admin
Visualizzare audit logSolo Admin
Importare datiAdmin

In Loogico, queste sono 10 capability distinte, configurabili per ogni utente tramite una matrice visuale.

Il legame con il GDPR

L’articolo 5(1)(f) del GDPR parla di “integrità e riservatezza” dei dati personali. Tradotto: devi assicurarti che i dati siano accessibili solo a chi è autorizzato, e che chi ci accede non possa farne un uso non previsto.

Il modo concreto per dimostrarlo è avere:

  1. Un sistema di controllo degli accessi (RBAC)
  2. Un log di chi ha fatto cosa (audit trail)

Senza questi due elementi, in caso di controllo, hai difficoltà a dimostrare la conformità.

RBAC ≠ complessità

Una preoccupazione comune è che gestire i permessi richieda troppo tempo. In realtà, se il sistema è progettato bene, la configurazione iniziale richiede 10-15 minuti, e poi la manutenzione è minima (aggiungere un utente, rimuovere qualcuno che lascia l’azienda).

L’alternativa — non avere controllo sugli accessi — richiede tempo in modo imprevedibile, quando qualcosa va storto.

Il caso limite: il dipendente che se ne va

Uno scenario reale che succede spesso: un agente lascia l’azienda. Se i tuoi sistemi non hanno controllo degli accessi granulare, devi:

  • Cambiare la password dell’account condiviso (se esiste)
  • Revocare eventuali accessi a Google Drive, email, strumenti
  • Sperare che non abbia copiato i dati prima di andare

Con RBAC, il processo è: disattiva l’utente. Fine. In 30 secondi, l’ex dipendente non ha più accesso a niente.

Come implementarlo se non hai ancora un gestionale

Se stai ancora usando strumenti generici, alcune misure immediate:

  1. Google Workspace o Microsoft 365: usa i gruppi per controllare chi ha accesso a quali Drive/SharePoint
  2. Account separati, non condivisi: ogni utente deve avere le proprie credenziali
  3. Revisione periodica degli accessi: ogni 3 mesi, verifica chi ha accesso a cosa e rimuovi accessi non necessari
  4. Documentalo: tieni un registro (anche un semplice foglio) di chi ha accesso a quali sistemi

Vuoi vedere come funziona il sistema di permessi in Loogico? Prenota una demo — ti mostriamo la matrice RBAC e il log delle modifiche in 10 minuti.

Vuoi vedere Loogico sul tuo caso?

Demo guidata gratuita di ~30 minuti sui tuoi dati reali. Niente trial automatici: una demo, un incontro, una proposta su misura.

Prenota una demo Guide e checklist gratuite

Resta aggiornato

Guide pratiche su gestione contratti, SIAN, fatturazione e provvigioni. Niente spam, disiscrizione in 1 click.

← Tutti gli articoli