Vuoi ricevere i nostri aggiornamenti?
Scambio di informazioni riservate tra colleghi tramite e-mail aziendale? È reato
Cass. 08/01/2019, n. 565/2019
Così si è espressa la Corte di Cassazione con la sentenza n. 565 dell’08/01/2019, confermando le statuizioni civili della sentenza impugnata.
D.S., dipendente della banca UBS, aveva inviato due e-mail tramite l’indirizzo di posta aziendale a L., collega presso la stessa banca. All’interno di queste e-mail, vi era un file Excel contenente informazioni bancarie relative agli intestatari di conti correnti presso UBS, dati ai quali il dipendente L. non aveva accesso. Il reato contestato? Accesso abusivo a sistema informatico, come sancito dall’art. 615-ter del codice penale.
Qui il nodo della questione: l’accesso abusivo a sistema informatico si sostanzia anche quando si ha uno scambio di e-mail tra colleghi e non soltanto, quindi, quando l’accesso avviene dall’esterno. In questo caso non ha avuto rilevanza il fatto che il soggetto fosse abilitato all’accesso alle informazioni riservate, o all’email aziendale, ma piuttosto che egli si fosse trattenuto nel sistema informatico di UBS violando le condizioni ed i limiti da questa imposti.
In altri termini: non rileva che il dipendente D.S. fosse autorizzato ad accedere all’email aziendale, né al database contenente dati segreti relativi ai correntisti di UBS, ciò che rileva è che stava usando questi strumenti informatici per fini differenti da quelli per cui l’accesso gli era stato concesso in primis dal datore di lavoro, come stabilito nella policy aziendale. Così facendo, il dipendente ha violato l’autorizzazione che aveva a rimanere all’interno del sistema informatico, ponendo in essere quindi un trattenimento abusivo all’interno di questo. Non solo: anche L. è stato ritenuto responsabile, per aver fatto insorgere il proposito criminoso nel collega, istigandolo a mandargli le informazioni.
La policy aziendale relativa all’utilizzo dei sistemi informatici, quindi, ha un ruolo chiave. Questa infatti assume rilievo per una serie di motivi, collegati tra loro:
- Per quanto attiene all’aspetto privacy, il reg. UE n. 679/2016 (GDPR) impone che il Titolare del trattamento istruisca chiunque agisce sotto la sua autorità e abbia accesso a dati personali (art. 29 ed art. 32 n. 4) per non incorrere in sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art. 53 n. 4 GDPR). Dunque, il datore di lavoro, per evitare di incorrere nelle sanzioni del GDPR, deve disporre adeguata policy aziendale;
- Dal punto di vista del dipendente, se egli, correttamente istruito dal datore di lavoro, si trattiene all’interno del sistema informatico aziendale per compire attività vietata, violando i limiti dell’autorizzazione che aveva ad accedere e a permanere in esso, può essere passibile di condanna per il reato di cui all’art. 615-ter c.p., oltre che incorrere in sanzioni disciplinari. Dunque, la policy aziendale, se non rispettata, può rilevare ai fini della responsabilità penale dei dipendenti;
- Per quanto attiene alla responsabilità delle società derivante da reato (sancita dal d. lgs. 331 del 2001), l’accesso abusivo a sistema informatico è uno dei “reati presupposto” dal quale può derivare la responsabilità dell’ente, a patto siano rispettati le regole generali stabilite dalla legge. Brevemente, spetterà alla società predisporre un modello organizzativo il quanto più possibile efficace nella prevenzione del reato.
Si tratta, in conclusione, di una sentenza molto interessante per quanto riguarda condotte sempre più frequenti, quali lo scambio di file protetti tra soggetti interni ad una stessa realtà societaria.