Vuoi ricevere i nostri aggiornamenti?
Accesso abusivo al sistema informatico aziendale: la Cassazione chiarisce i limiti di legittimità per i dipendenti
La recente sentenza della Corte di Cassazione offre spunti di riflessione essenziali per le aziende in materia di accesso ai sistemi informatici da parte dei dipendenti, in particolare con ruoli apicali.
Il caso affrontato riguarda un caso di condanna per accesso abusivo a sistema informatico (articolo 615-ter c.p.) da parte di un direttore, impiegato in una struttura ricettiva-alberghiera, per scopi estranei al mandato che aveva ricevuto. In particolare, l’imputato aveva acquisito da un'altra dipendente le credenziali di accesso per entrare in una banca dati aziendale protetta in cui venivano gestiti e archiviati a fini promozionali circa 90.000 schede individuali di clienti.
Il caso e il principio di diritto
Un lavoratore dipendente, con mansioni direttive, aveva ottenuto da un’altra dipendente le credenziali per accedere a un sistema informatico aziendale contenente dati di clienti. L’imputato condannato in primo e secondo grado per il reato di cui all’articolo 615-ter Codice Penale, ha proposto ricorso in Cassazione sostenendo di aver operato nell'ambito delle proprie funzioni, per garantire il controllo delle attività aziendali. Tuttavia, i giudici di merito e la Cassazione hanno ritenuto errato che il possesso di un ruolo direttivo non autorizzi automaticamente l’accesso ai dati protetti da credenziali personali che, secondo la discrezionale valutazione del datore di lavoro dovevano restare nella disponibilità di solo alcuni dipendenti.
Non può infatti ritenersi accettabile l’argomento che fa leva sul potere del direttore di accedere a qualsiasi “luogo” aziendale per controlli su chi gli era subordinato gerarchicamente.
Spetta sempre al datore di lavoro:
- da un lato, organizzare l’impresa da lui gestita, essendo anche i suoi collaboratori apicali comunque tenuti a rispettarne le direttive;
- dall’altro, stabilire le modalità di controllo di eventuali mancanze dei dipendenti, direttamente o meno, non necessariamente mediante la propria organizzazione gerarchica, ma anche a mezzo di soggetti estranei all’organizzazione lavorativa.
Inoltre, è irrilevante che secondo pregresse disposizioni datoriali, il ricorrente poteva accedere ai dati e che egli non conoscesse il divieto di accesso formulato dal datore di lavoro, proprio in considerazione del fatto che il ricorrente ha dovuto chiedere le credenziali ad altra dipendente per poter entrare nella banca dati aziendale.
In conclusione, viola le direttive del datore di lavoro il dipendente, che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza avene specifica autorizzazione essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso.
Le norme violate e il ragionamento della Corte
- Art. 615-ter c.p. (Accesso abusivo a sistema informatico): la Corte ha ribadito che l’accesso abusivo si configura quando un soggetto entra in un sistema protetto senza autorizzazione. Anche se l’utente ha un ruolo direttivo, l’utilizzo di credenziali altrui costituisce una violazione, in quanto aggira le misure di sicurezza aziendali.
- Art. 2086 e 2104 c.c. (Poteri organizzativi del datore di lavoro e doveri del dipendente): la Cassazione ha precisato che la struttura gerarchica non implica un accesso illimitato ai dati aziendali. Spetta al datore di lavoro stabilire chi possa accedere a determinate informazioni e con quali strumenti. Il dipendente, anche apicale, deve attenersi alle direttive ricevute.
- Art. 521 e 522 c.p.p. (Correlazione tra imputazione e sentenza): il ricorrente ha sostenuto che la sua condanna fosse viziata per difetto di correlazione tra accusa e decisione. Tuttavia, la Corte ha ritenuto che la contestazione fosse chiara e che il diritto di difesa fosse stato garantito.
- Art. 578 c.p.p. (Decisione sulle statuizioni civili in caso di prescrizione): sebbene il reato sia stato dichiarato prescritto, la Cassazione ha confermato la responsabilità civile dell’imputato, con obbligo di risarcire i danni alla parte civile.
Implicazioni operative per le aziende
Alla luce di questa pronuncia, le imprese devono adottare misure preventive per evitare situazioni simili, tra cui:
- Definizione chiara delle autorizzazioni d’accesso: ogni dipendente deve avere credenziali personali e l’azienda deve stabilire esplicitamente chi può accedere a determinate informazioni.
- Formazione e sensibilizzazione: il personale, incluso il management, deve essere informato sulle conseguenze legali dell’accesso abusivo a sistemi informatici.
- Monitoraggio e tracciamento degli accessi: l’implementazione di log di accesso permette di individuare eventuali anomalie e responsabilità.
- Policy aziendali rigorose: devono essere predisposti regolamenti interni che disciplinino l’uso delle credenziali e prevedano sanzioni disciplinari in caso di violazione.
Conclusione
La sentenza della Suprema Corte esaminata ribadisce che il diritto d’accesso ai dati aziendali non è automatico neanche per i dirigenti. Le aziende devono tutelarsi con procedure chiare e controlli rigorosi per prevenire accessi non autorizzati, evitando così il rischio di contenziosi e sanzioni penali.