Checklist offboarding utente IT
Pacchetto onboarding IT Gonzato · Fase P2 · Helpdesk · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Revocare in modo completo e tempestivo gli accessi e recuperare gli asset quando una persona lascia l'azienda o cambia società all'interno del Gruppo. Priorità sicurezza: evitare account orfani (accessi attivi senza titolare), tema critico durante lo split societario in corso e ai fini NIS 2. Formalizza quello che l'IT già fa a memoria, rendendolo tracciabile.
Regola: nessun offboarding parte senza notifica del responsabile o delle Risorse Umane (vedi canale-richieste-it.md). L'IT non decide le cessazioni, le esegue.
Dati richiesta (da compilare prima di iniziare)
- Nome e cognome:
[da compilare] - Società del Gruppo:
[da compilare] - Tipo evento:
[ ] cessazione [ ] trasferimento tra società del Gruppo - Se trasferimento, società di destinazione:
[da compilare] - Data ultimo giorno / data effetto:
[da compilare] - Responsabile o HR richiedente:
[da compilare] - Accessi noti dell'utente (da inventario onboarding):
[da compilare]
Blocco A — Revoca accessi (comune a cessazione e trasferimento)
- ☐ Disabilitare l'account alla data/ora concordata (non eliminarlo subito) — owner: IT
- ☐ Terminare le sessioni attive e forzare il logout dai device — owner: IT
- ☐ Revocare i token/app collegate e le password salvate aziendali — owner: IT
- ☐ Rimuovere l'utente da tutti i gruppi/liste di distribuzione — owner: IT
- ☐ Revocare accessi al gestionale, cartelle, VPN, portali esterni — owner: IT
- ☐ Revocare accessi fisici/badge se gestiti dall'IT — owner: IT
[da compilare: sì/no] - ☐ Gestire la posta: inoltro/autorisponditore e passaggio al responsabile — owner: IT
- ☐ Reimpostare eventuali password di account condivisi/di servizio usati dalla persona — owner: IT
Blocco B — Rientro asset (solo cessazione)
- ☐ Ritirare device (notebook/desktop, telefono, tablet, accessori) — owner: IT
- ☐ Ritirare token MFA / chiavi / badge — owner: IT
- ☐ Verificare stato e integrità, aggiornare inventario (asset reso libero) — owner: IT
- ☐ Verbale di riconsegna firmato — owner: IT + utente/HR
- ☐ Cancellare/reset del device prima di riassegnarlo — owner: IT
Blocco C — Trasferimento tra società del Gruppo (critico)
Un trasferimento NON è solo aggiungere i nuovi accessi. Prima si revoca il vecchio profilo, poi si attiva il nuovo. Altrimenti la persona accumula accessi di due società = rischio account orfano di fatto.
- ☐ Confrontare profilo di origine e profilo di destinazione (vedi
matrice-accessi-per-ruolo.md) — owner: IT - ☐ Revocare gli accessi della società di origine NON previsti nel nuovo ruolo (eseguire Blocco A limitato a questi) — owner: IT
- ☐ Mantenere solo gli accessi condivisi legittimi di Gruppo (se esistono) — owner: IT
- ☐ Trasferire/rietichettare l'asset alla società di destinazione o riassegnare device — owner: IT
- ☐ Attivare il nuovo profilo con
checklist-onboarding-utente.md(blocchi 1-2-3) — owner: IT - ☐ Verificare a valle che non restino accessi residui della società di origine — owner: IT
Blocco D — Chiusura e verifica
- ☐ Controllo finale account orfani: nessun accesso attivo intestato alla persona fuori dal nuovo profilo — owner: IT
- ☐ Pianificare eliminazione definitiva account/mailbox dopo il periodo di conservazione — owner: IT
[da compilare: durata] - ☐ Archiviare la checklist compilata nel dossier utente — owner: IT
Note
[da compilare: periodo di conservazione mailbox/dati per obblighi legali][da compilare: chi autorizza l'accesso alla posta di chi è uscito]- Casi ad alto rischio (accesso a sistemi critici, uscita non consensuale): revoca immediata prioritaria, poi il resto.