Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

L’autenticazione con user e password: vale come firma?

13/02/2019

Cass. Sez. Lavoro, 1/02/2019, n. 3133/2019

Una dipendente di uno studio medico viene licenziata a causa della sua “dipendenza” da social in orario lavorativo. Con una media di circa 4.500 accessi a Facebook nell’arco di 18 mesi, è stato possibile dedurre dalla cronologia del computer in uso alla dipendente, che quest’ultima trascorresse gran parte del suo orario navigando su siti internet estranei all'ambito lavorativo.

Nel ricorso avanti alla Cassazione, rigettato, ha infatti rigettato il ricorso si sosteneva “l'impossibilità di fondare la decisione sui report di cronologia” per l'impossibilità di dimostrare la riferibilità degli accessi effettuati (oltre alla violazione delle regole sulla tutela della privacy). Nel corso del processo, tuttavia, è emerso come l’accesso a Facebook, necessitando di una password, non potesse quindi che essere ricondotto dalla titolare dell’account stesso.

Questa pronuncia consente di fare alcune riflessioni sul valore e gli effetti giuridici connessi ad una semplice autenticazione con user e password per l’accesso ad una piattaforma come Facebook e alla effettiva riferibilità alla persona fisica titolare di user e password delle azioni connesse.

In altri termini, quali sono i confini dell’identità virtuale di una persona?

La normativa da qualche anno è disciplinata dal Regolamento UE) n. 910/2014 del Parlamento Europeo e del Consiglio UE in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, noto con l’acronimo di eIDAS - electronic IDentification Authentication and Signature (eTS - electronic Trust Services), che stabilisce le condizioni per il riconoscimento reciproco tra gli Stati Membri in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web e i relativi servizi fiduciari per le transazioni digitali. Il Regolamento fornisce indicazioni tecniche giuridiche per qualificare attività oramai quotidiane come l’inserimenti di user e password in un sito web, pagina social o per l’accensione di un PC.

Il Regolamento, infatti, definisce identificazione elettronica come “il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica” (art. 3, n. 1).

Di pari passo con l’identificazione elettronica va l’autenticazione che rappresenta la seconda fase in cui si articola il processo di riconoscimento dell’identità virtuale di un soggetto. Mentre l’identificazione consiste nella raccolta dei dati identificativi (da intendersi come “un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica”) tramite i quali il soggetto si presenta e asserisce di essere una determinata persona, l’autenticazione è un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica oppure l’origine e l’integrità dei dati in forma elettronica.

L’autenticazione è dunque finalizzata a fornire la certezza incontrovertibile dell’associazione dell’identità ad una determinata persona, fisica o giuridica.

Naturalmente a seconda dei metodi utilizzati per l’identificazione e l’autenticazione la forza e il “valore” dell’identità digitale aumenta o diminuisce il semplice accesso attraverso user name e password è uno di questi.

Al Regolamento eIDAS e sulla classificazione dei tipi di autenticazione è collegato il Regolamento di Esecuzione UE 2015/1502, nel quale si definiscono tre livelli di identificazione e autenticazione (basso, significativo ed elevato) a seconda dei fattori/elementi utilizzati.

Senza addentrarsi troppo nei tecnicismi, l’utilizzo della password come meccanismo di autenticazione si qualifica come basso, ma non così basso da non rappresentare quello che un soggetto fa all’interno del mondo virtuale.

Probabilmente nel caso di specie altri elementi sono stati associati alla mera identità virtuale della dipendente, come il fatto che la postazione utilizzata era assegnata a quel lavoratore e quindi che la cronologia di Internet non poteva che essere riferita allo stesso. Come tutelarsi quindi?

L’importanza di non condividere le password con terze persone non va sottovalutata.

Le credenziali (user e password) rappresentano la mia identità virtuale e quello che faccio utilizzando le stesse producono delle conseguenze sul piano giuridico e di responsabilità in quanto quei fatti sono riferibili alla mia identità. Per questo se si ha il sospetto che qualcuno abbia in qualche modo forzato la password è importante modificarla per “riappropriarsi” della propria identità virtuale per non dover rispondere di fatti commessi da altri.