Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

controlli datoriali

Il mystery shopping in azienda, fra supervisione e privacy dei lavoratori

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il mystery shopping funziona da controllo difensivo, volto a verificare condotte illecite attribuibili – sulla base di fondati sospetti – a singoli dipendenti. Ecco perché deve garantire un bilanciamento tra esigenze del datore di lavoro e tutele della dignità e della riservatezza del lavoratore

Pubblicato il 4 feb 2026
Pasquale Mancino

Internal auditor e Revisore di Organizzazione sindacale

Digital Omnibus cyber security privacy; Mistery shopping: fra supervisione e privacy

Di recente gli organi di informazione hanno riportato notizia di licenziamenti originati da controlli datoriali tramite mystery shopping.

Prima di affrontare questo aspetto è però utile esaminare i diversificati ambiti di utilizzo per tale strumento.

Il confine tra sicurezza e privacy: il Garante sanziona il monitoraggio GPS della flotta aziendale

Che cos’è il mystery shopping (o mistery audit)

Il mystery shopping o, anche, mystery audit come denominato dalla norma tecnica (non cogente ma tesa a standardizzare la pratica) UNI 11312-1:2017 Qualità nei servizi – Audit in incognito (mystery audit), consiste in controlli effettuati:

  • de visu con un soggetto (in genere ricorrendo a persone esterne all’organizzazione) che simula un acquisto o la richiesta di un servizio (anche presso organizzazioni pubbliche) per vagliarne la gestione;
  • online simulando anche qui la richiesta di un bene o servizio per vagliare come si imposta il tool di interfaccia e/o come si gestisce il personale online.

L’intervento del Garante privacy

Le finalità possono essere diverse ma sostanzialmente riconducibili a:

  • azione di supervisione da parte di Autorità di settore;
  • esigenze di perfezionamento dei propri processi di vendita o erogazione di servizi;
  • valutazione dei comportamenti del personale adibito al front-office.

Sotto il primo profilo basti come esempio citare il Garante privacy che può ricorrere al mystery shopping, limitatamente a violazioni transfrontaliere che comportino un’attività di cooperazione fra le autorità europee per la tutela dei consumatori, ai sensi dell’art. 4.3 lett.d del Regolamento UE 2017/2394.

Inoltre, lo scorso 11 settembre 2025, nell’audizione al Senato sul disegno di “legge annuale per il mercato e la concorrenza per il 2025”, il Garante ha fra l’altro proposto una modifica all’art. 154-bis del Codice privacy per estendere anche al solo ambito nazionale il potere di “ispezionare, analizzare e testare, ove necessario in forma anonima, specifici beni, applicativi, prodotti e servizi, al fine di verificare la conformità dei trattamenti ad essi correlati, al Regolamento e al presente Codice”.

Per quanto riguarda il secondo aspetto, il mystery shopping può essere utilizzato per testare i processi di lavoro di organizzazioni a fini di miglioramento continuo (per i servizi pubblici si veda, per esempio, lo studio The mystery shopper: a tool to measure public service delivery?).
Ma il ricorso alle visite “in incognito” si sta diffondendo, come sopra cennato, anche nell’ambito delle verifiche sulle prestazioni dei lavoratori anche per avvalersene in sede disciplinare o anche per dare il via a procedure di licenziamento.

Al riguardo, secondo i principi etici della associazione europea Mystery Shopping Professionals Association (MSPA), il mystery shopping dovrebbe essere finalizzato a:

  • fornire assistenza in merito a piani di formazione e miglioramenti del servizio;
  • e non dovrebbe essere l’unica giustificazione per azioni disciplinari e/o licenziamenti.

Provvedimenti nell’ambito del rapporto di lavoro

Ciò apre la questione di come e quando tale metodo possa legittimamente diventare base per provvedimenti di rigore nell’ambito del rapporto di lavoro in particolare dell’art. 4 Statuto dei Lavoratori (L. 300/1970) che, nella sua formulazione riformata (a seguito del D.lgs. 151/2015), disciplina l’utilizzo da parte del datore di lavoro di “impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”.

L’art. 4 distingue tra:

  • impianti audiovisivi e altri strumenti che possono comportare anche un controllo a distanza dell’attività dei lavoratori (comma 1). Il loro utilizzo è consentito solo previo accordo sindacale oppure, in mancanza, con autorizzazione dell’Ispettorato nazionale del lavoro;
  • strumenti necessari allo svolgimento della prestazione lavorativa e alla registrazione di accessi e presenze (comma 2), il cui impiego è invece sempre ammesso.

Nell’azione di controlli sui lavoratori, il mystery shopping, quando utilizzato come controllo difensivo volto a verificare condotte illecite attribuibili – sulla base di fondati sospetti – a singoli dipendenti, deve garantire un adeguato bilanciamento tra le esigenze del datore di lavoro e le imprescindibili tutele della dignità e della riservatezza del lavoratore.

Secondo la giurisprudenza della Corte di Cassazione (tra cui la sentenza n. 18168/2023, Sez. Lavoro), il controllo è legittimo “sempre che il controllo iguardi dati acquisiti successivamente all’insorgere del sospetto anche se queste si verificano durante lo svolgimento della prestazione di lavoro”.

Mystery shopping come controllo difensivo generale

Nei casi più recenti riportati dai media, il mystery shopping sembrerebbe configurarsi come un controllo difensivo generale, più vicino ai controlli a distanza disciplinati dall’art. 4, comma 1, dello Statuto dei lavoratori.

Se effettivamente così fosse, pur non trattandosi ovviamente di uno strumento tecnologico, sarebbe comunque necessario valutare se il suo utilizzo – salvo quando finalizzato esclusivamente al fine tuning dei processi di lavoro – richieda un accordo sindacale preventivo o, in mancanza, l’autorizzazione dell’Ispettorato del lavoro.

Inoltre, i dipendenti devono essere adeguatamente informati. Al riguardo è interessante quanto avvenuto in Francia, dove con sentenza del 6 settembre 2023 la francese Cour de cassation – Chambre sociale ha confermato il licenziamento di un dipendente sulla base di fatti rilevati mediante un “client-mystère” in quanto indagine facente parte di un piano di accessi preventivamente approvato dal Consiglio dell’impresa e reso noto alla propria compagine.

La sentenza

In materia di controlli difensivi diretti, la Sezione Lavoro della Cassazione con sentenza 14454/2017 ha respinto il ricorso di un dipendente licenziato dopo che le sue irregolarità – mancata registrazione degli acquisti e trattenimento degli importi – erano state rilevate più volte da incaricati di un’agenzia investigativa che si erano presentati come clienti.

La Corte, richiamando precedenti orientamenti, ha ribadito due principi ovvero che: “l’accertamento non sia limitato a un unico episodio, non sempre significativo” e che non siano poste “manovre dirette ad indurre in errore l’operatore”.

Il trattamento di dati personali nel mystery shopping

Con riguardo ai profili privacy, l’attività di mystery shopping – almeno quella frontale – implica il trattamento di dati personali: il “cliente misterioso” rileva elementi relativi al comportamento del dipendente, al servizio, all’attività aziendale e può produrre report che includono riferimenti al lavoratore.

Pertanto, il titolare / datore di lavoro che intendesse utilizzare, per finalità di gestione del rapporto di lavoro, i risultati del mystery shopping deve valutare, oltre alla compatibilità con l’art. 4 dello Statuto dei lavoratori, se il trattamento è lecito, corretto e trasparente nei confronti del dipendente.

Inoltre, dovrebbe essere a valle di interventi formativi incentrato sui comportamenti e controlli che ci si attende che vengano posti in essere dal personale.

Dovranno quindi essere osservati i diversi adempimenti del GDPR, fra cui la produzione di una informativa ai lavoratori e l’inclusione del trattamento nell’apposito Registro.

Se ricorre a un fornitore di servizi l’attività di mystery shopping dovranno essere osservate le previsioni che regolano i rapporti con il fornitore – responsabile del trattamento.

Protezione dei dati personali e dignità del lavoratore

In definitiva, l’attività di mystery shopping richiede che l’organizzazione che la utilizza lo faccia nel rispetto delle regole della protezione dei dati personali e della dignità del lavoratore.

Inoltre, il mystery shopping richiede che i risultati vengano inseriti in un processo complessivo di gestione dei processi di lavoro e non come unica base di decisioni disciplinari.

Linee guida operative

In attesa di un auspicabile intervento chiarificatore del legislatore o di linee guida del Garante privacy, utili a definire criteri uniformi per l’impiego del mystery shopping – soprattutto nei settori ad alta intensità relazionale e regolamentati – si propongono alla riflessione di DPO e privacy manager alcune indicazioni operative per un utilizzo conforme e sicuro di questo strumento aziendale, anche nella prospettiva di utilizzo nella gestione del rapporto di lavoro:

  • definizione chiara dell’obiettivo: stabilire in modo trasparente la finalità del mystery shopping che si intende porre in atto (fine tuning del servizio e/o strumento valutativo);
  • contrattualizzazione e informativa ai lavoratori: prevedere, preferibilmente nel contratto di lavoro o in apposito accordo sindacale, la possibilità che si effettuino verifiche tramite mystery shopping e fornire un’informativa chiara sul trattamento dei dati personali derivanti da tali attività;
  • proporzionalità e trasparenza: garantire che lo strumento non si trasformi in un controllo continuo e individuale del lavoratore e che la raccolta dei dati sia proporzionata allo scopo, mediante per esempio un numero limitato di visite, campionamenti o rotazioni, secondo un piano che si dovrebbe rendere noto nella sua dimensione, pur senza precisare il relativo calendario;
  • tracciabilità e documentazione: assicurare che i risultati siano documentati in modo completo e contestualizzato, con elementi utili alla comprensione del contesto operativo;
  • integrazione con altri strumenti di valutazione: evitare che un singolo report di mystery shopping costituisca l’unico presupposto per avviare un procedimento disciplinare o un licenziamento;
  • protezione dei dati personali: valutare la necessità di una DPIA, definire tempi di conservazione adeguati e limitare le finalità del trattamento ai soli scopi dichiarati;
  • formazione e comunicazione: informare il personale – senza compromettere l’efficacia tecnica delle visite – sui criteri generali di controllo; formare i lavoratori affinché comprendano che il mystery shopping non è uno strumento “spionistico”, ma parte di un percorso di miglioramento;
  • revisione periodica del sistema: applicando la logica PDCA (plan, do, check, act), monitorare nel tempo l’attività di mystery shopping per evitare derive verso forme di sorveglianza non desiderate, verificare la coerenza con la normativa privacy e assicurarsi che l’eventuale rilevanza disciplinare dei risultati sia effettivamente giustificata.

Alzare la qualità dei servizi e migliorare i processi organizzativi

Qualunque sia l’ambito in esame, il settore di appartenenza o la natura del soggetto – pubblico o privato – che faccia ricorso al mystery shopping, sarebbe necessarie adottare le linee operative sopra indicate, adattandole opportunamente al contesto, per assicurare il rispetto della normativa privacy ogniqualvolta vengano trattati dati personali.

Il mystery shopping può essere uno strumento prezioso per elevare la qualità dei servizi e migliorare i processi organizzativi, ma il suo valore dipende dalla capacità delle organizzazioni di utilizzarlo nel rispetto delle persone.

Solo un approccio fondato su trasparenza, proporzionalità e responsabilità consente di trasformare questa tecnica da potenziale fattore di rischio gestionale a opportunità di crescita, tutelando al contempo i diritti dei lavoratori e la credibilità dell’organizzazione che lo impiega.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Proteggere identità digitale

  • la guida pratica

    Proteggere l’identità digitale: best practice per evitare la compromissione degli account

    31 Mar 2025

    di Matteo Cuscusa

    Condividi
  • Cyber security in Italia 2025

  • il rapporto

    Cyber security, com'è messa l'italia nel 2025: la risposta nei dati Anitec Assinform

    02 Lug 2025

    di Paolo Tarsitano

    Condividi
  • falla moltbook

  • intelligenza artificiale

    Grave falla in Moltbook: l'incubo cyber degli agenti è realtà

    02 Feb 2026

    di Alessandro Longo

    Condividi
  • SOC Applicativo CryptoNet Labs; I 5 pilastri del SOC 2: la bussola per navigare sicuri nel mondo digitale

  • protezione dati

    I 5 pilastri della conformità SOC 2: la bussola per navigare sicuri nel mondo digitale

    29 Gen 2026

    di Jim Biniyaz

    Condividi
0
Lascia un commento, la tua opinione conta.x