Accesso a database informatici con password: c’è abuso anche per il dirigente

---

Condividi l'articolo:

---

Di grande attualità la sentenza n. 40295 del 31 ottobre 2024, in cui la quinta sezione penale della Corte di Cassazione affronta l’ambito di applicazione del reato di accesso abusivo ad un sistema informatico all’interno di un rapporto di lavoro, confermando l'orientamento del diritto in materia di tutela della riservatezza dei dati aziendali e della disciplina degli accessi alle informazioni riservate da parte dei dipendenti.

“Viola le direttive (quand’anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso”: questo, in sintesi, il contenuto della sentenza.

Ma vediamo nel dettaglio i termini della questione risolta dagli Ermellini.

Accesso disfunzionale a database aziendale

Il procedimento trae origine dalla sentenza della Corte d'Appello di Firenze che ha confermato la condanna dell’imputato pronunciata dal Tribunale di Siena, ritenuto colpevole del reato previsto dall’art. 615 ter del codice penale in quanto, privo delle credenziali di accesso, aveva utilizzato quelle di una collega per entrare nel sistema informatico aziendale, violando così le disposizioni interne.

Tale condotta è stata qualificata come “accesso disfunzionale” poiché compiuta per scopi non pertinenti al mandato lavorativo.

In appello, l'imputato è stato assolto dall'accusa di frode informatica ai sensi dell'art. 640 ter del codice penale, con conseguente esclusione dell'aggravante per connessione teleologica (art. 61, n. 2, codice penale); tuttavia, la Corte d'Appello ha confermato l’accesso abusivo al sistema aziendale.

Motivazioni del ricorso e tesi della difesa

Carenza di potere

Il primo e il secondo motivo di ricorso si concentrano sulla presunta carenza di potere dell’imputato addotta dalla Corte di Appello nell’accedere al sistema informatico e sull'errata qualificazione dell'accesso come “disfunzionale”.

Secondo la difesa, l’imputato, in qualità di direttore dell’azienda, possedeva invece implicitamente il diritto di accedere ai dati aziendali per finalità di controllo e gestione delle attività svolte dai dipendenti subordinati.

La difesa ha inoltre sottolineato che la richiesta delle credenziali a una collega non rappresentava una violazione di legittimazione poiché un superiore gerarchico, quale il direttore, poteva legittimamente richiedere l’accesso ai sistemi aziendali se necessario per la gestione operativa.

Tuttavia, la Corte d'Appello ha interpretato la richiesta di credenziali come una dimostrazione del fatto che l’imputato non fosse autorizzato ad accedere autonomamente al sistema, mancando quindi del potere necessario per operare tale accesso.

Ruolo apicale dell’imputato e legittimazione all’accesso

Il terzo motivo di ricorso presentato dalla difesa si basa sul ruolo apicale dell’imputato, sostenendo che la sua posizione di direttore dell’azienda lo legittimava all’accesso ai dati riservati.

La difesa ha paragonato la situazione a quella di un direttore che richiede le chiavi di un magazzino per ispezionare il lavoro di un magazziniere, sottolineando che il direttore avrebbe comunque diritto di accesso, ed ha inoltre contestato l’accusa secondo cui l’imputato avrebbe avuto intenzioni disfunzionali, affermando che non vi era prova di un fine diverso da quello di tutela dell’interesse aziendale.

Violazione degli articoli di legge e correlazione tra imputazione e condanna

Un ulteriore punto critico evidenziato riguarda la presunta violazione del principio di correlazione tra l’imputazione e la condanna: la difesa ha sostenuto che l’imputazione fosse ambigua poiché indicava l’accesso come “disfunzionale” senza chiarire in modo esaustivo l’assenza di potere dell’imputato.

Secondo il ricorrente, la formulazione dell'accusa avrebbe infatti dovuto distinguere chiaramente se l’accesso fosse totalmente privo di autorizzazione o solo relativo a un uso improprio delle credenziali.

Motivi di rifiuto del ricorso

La Corte di Cassazione, nella sentenza n. 40295 del 31 ottobre 2024, ha rigettato il ricorso dell’imputato in merito all’accusa di accesso abusivo al sistema informatico aziendale, confermando la sentenza della Corte d’Appello di Firenze.

Gli Ermellini hanno ritenuto che l’imputato, pur ricoprendo una posizione apicale come direttore, abbia violato le norme di accesso predisposte dall’azienda utilizzando le credenziali di una dipendente subordinata per accedere a un sistema protetto senza autorizzazione esplicita.

Secondo la Suprema Corte, la condotta dell’imputato configura un abuso di accesso considerato disfunzionale rispetto alle finalità aziendali.

Tutela della riservatezza aziendale

La rilevanza di questa decisione si fonda su alcuni principi chiave della tutela della riservatezza aziendale.

La Cassazione ha confermato che, in assenza di un’autorizzazione specifica o di credenziali personali, l’accesso ai sistemi informatici protetti è subordinato al rispetto delle direttive aziendali anche per chi ricopre ruoli dirigenziali.

Tale approccio mira a prevenire utilizzi impropri delle risorse aziendali e garantisce che solo i soggetti designati possano accedere ai dati sensibili.

La Corte ha altresì evidenziato che il solo ruolo apicale non giustifica automaticamente il diritto di accesso ai sistemi riservati, specialmente quando lo stesso sia stato disposto in violazione di precise norme interne.

Protezione dei dati sensibili

Uno degli elementi centrali nella decisione della Corte riguarda la chiarezza delle restrizioni aziendali sull’accesso ai dati: la Cassazione ha infatti sottolineato come la protezione dei dati aziendali tramite l’utilizzo di credenziali personali rappresenti una misura volta a garantire la riservatezza e la sicurezza delle informazioni specialmente in settori ad alta competitività come quello, nel caso di specie, turistico-ricettivo.

Nel caso in esame, l’azienda aveva chiaramente delimitato l’accesso ai dati riservati predisponendo specifiche credenziali personali per i soggetti autorizzati.

La decisione della Corte d’Appello, confermata dalla Cassazione, si basa quindi sul principio per cui il datore di lavoro ha pieno diritto di determinare le modalità di accesso alle proprie risorse informatiche e di limitarlo solo ai dipendenti formalmente autorizzati.

Il sistema di credenziali personalizzate, prosegue la Cassazione, svolge una duplice funzione: non solo garantisce che l’accesso avvenga da parte di soggetti autorizzati, ma permette anche di tracciare e monitorare l’attività all’interno del sistema.

Questo monitoraggio risulta essenziale per la tutela dell’integrità del patrimonio informativo aziendale e per la prevenzione di potenziali abusi.

La scelta dell’azienda di concedere accesso solo a dipendenti selezionati, subordinati o meno al direttore, conferma dunque in re ipsa la volontà del datore di lavoro di proteggere i dati sensibili e di assicurarsi che solo i soggetti qualificati e designati possano operare all’interno del sistema informatico protetto.

La Cassazione ha inoltre chiarito che la trasmissione delle credenziali personali a terzi configura una violazione delle norme aziendali e di sicurezza, anche quando l’accesso è stato richiesto da un superiore gerarchico.

Violazione delle direttive del datore di lavoro

Sotto questo ultimo aspetto, la Cassazione ha inoltre rimarcato il diritto del datore di lavoro di stabilire autonomamente le modalità di controllo e supervisione sulle attività dei propri dipendenti, inclusi i dirigenti.

In base all’art. 2086 e all’art. 2104 del codice civile, il datore di lavoro ha la facoltà di organizzare i controlli secondo criteri di propria scelta, inclusa la possibilità di delegare le attività di controllo a specifici soggetti senza che il personale dirigenziale possa arrogarsi automaticamente tale diritto.

Gli Ermellini hanno pertanto stabilito che, anche in mancanza di una formale comunicazione di divieto, il direttore fosse comunque vincolato a rispettare le direttive tacitamente espresse dalla presenza di credenziali protette.

Questa violazione delle direttive aziendali è stata valutata come contraria al dovere di diligenza e lealtà professionale che l’imputato, in quanto dipendente, avrebbe dovuto rispettare; tale comportamento, prosegue la Corte, denota non solo la volontà di disattendere le norme aziendali, ma anche una mancanza di trasparenza e rispetto per le politiche di sicurezza della società.

La Cassazione ha quindi ribadito che l’accesso a un sistema informatico mediante credenziali non personali costituisce una violazione del mandato lavorativo, indipendentemente dal grado gerarchico.

La sentenza in breve

Rilevanza dell'accesso abusivo	La Corte Suprema ha confermato che l’accesso al sistema informatico senza autorizzazione, anche da parte di un direttore, è considerato abusivo se non conforme alle direttive aziendali.
Chiarezza dei divieti aziendali	L’azienda aveva predisposto credenziali individuali per proteggere i dati sensibili; tale misura indica una chiara volontà del datore di lavoro di limitare l’accesso a specifici dipendenti autorizzati.
Violazione delle direttive aziendali	Il direttore ha violato le norme aziendali utilizzando le credenziali di una dipendente subordinata, violando così il dovere di diligenza e lealtà nei confronti del datore di lavoro.
Importanza della sentenza per la giurisprudenza	La decisione conferma il diritto del datore di lavoro di limitare l’accesso ai sistemi informatici aziendali e crea un precedente per la tutela dei dati sensibili e il rispetto delle direttive in ambito lavorativo.