Home

Usa le credenziali di un suo sottoposto: è accesso abusivo a sistema informatico

Fonte: Cass. Pen. sez. V, 8 maggio 2024, n. 40295
02 Gennaio 2025

Non risulta convincente, secondo la Corte di cassazione, l'argomento che fa leva sul potere del “capo” di accedere a qualsiasi luogo aziendale (come in un magazzino) per controlli su chi gli sia subordinato gerarchicamente. Nel caso di un sistema informatico protetto da credenziali è evidente che “ogni soggetto abilitato ha la sua ‘chiave' personale” (nella fattispecie le credenziali d'accesso).

Massima

Viola le direttive (quand'anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso.

Il caso

Tizio, impiegato presso una struttura ricettivo-alberghiera, ha chiesto e ottenuto dalla dipendente, gerarchicamente a lui subordinata, le credenziali di accesso al sistema informatico aziendale per l'archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali. La dipendente ha denunciato Tizio poiché accedeva abusivamente al predetto sistema informatico per scopi estranei al mandato ricevuto. Tizio fu accusato di accesso abusivo a sistema informatico nei primi due gradi di giudizio mentre la sua difesa interponeva ricorso per cassazione contro la sentenza resa in grado di appello denunciandone vizio di motivazione, sostenendo la liceità dell'operato dell'imputato in ragione della sua posizione apicale rispetto a quella ricoperta dalla titolare del diritto all'uso delle credenziali e come tale legittimato a chiedere le credenziali alla lavoratrice subordinata oltre che a farne uso.  

La questione

Un dipendente in posizione gerarchicamente sovraordinata può utilizzare le credenziali di accesso di un suo sottoposto? Di cosa è responsabile?

Le soluzioni giuridiche

Con la pronuncia in esame la Cassazione si è pronunciata chiarendo l'ambito di applicazione del reato di “accesso abusivo ad un sistema informatico” all'interno di un rapporto di lavoro.

L'accesso abusivo a sistema informatico è un reato previsto dall'articolo 615-ter c.p., introdotto dalla legge n. 547/1993, che ha rappresentato un intervento normativo di grande importanza per quanto concerne l'adeguamento del diritto penale italiano alla tecnologia.

Tale normativa è, infatti, intervenuta in diverse direzioni, punendo varie forme di aggressione, ed in particolare quelle alla riservatezza dei dati e delle comunicazioni informatiche, quelle all'integrità dei dati e dei sistemi informatici, nonché le condotte di falso in relazione ai documenti informatici e le frodi informatiche.

La norma su richiamata prevede due condotte: una attiva, consistente nell'introduzione abusiva in un sistema informatico o telematico protetto da misure di sicurezza, ed una statica, ossia il mantenersi nel medesimo sistema contro la volontà espressa o tacita di chi ha il diritto di escluderlo.

L'art. 615-ter prevede poi un aggravamento di pena al secondo comma se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

La Suprema Corte precisa che con le norme attualmente in vigore commette il reato previsto dall'articolo 615-ter c.p., chiunque entri in un sistema informatico protetto da password senza averne diritto. Anche se si tratta del superiore gerarchico, come nella sentenza de qua, il quale ha richiesto le credenziali al proprio collaboratore per accedere abusivamente al sistema informatico; sulla base di ciò la Cassazione con il Provvedimento esaminato ha stabilito che «viola le direttive (quand'anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso». Merita evidenziare come già in passato, sul punto, la giurisprudenza di legittimità sia stata piuttosto chiara nell'affermare che il fatto che l'autore dell'accesso fosse in possesso delle credenziali, poiché fornitegli spontaneamente dal proprietario del sistema informatico, non escluda la configurazione del reato laddove l'attività svolta nel dispositivo sia in evidente contrasto con le finalità per le quali le credenziali furono concesse, o sia comunque eccessiva rispetto alle stesse (Cass. pen., sez. V, n. 2905/2018).

La questione che ha interessato la giurisprudenza di legittimità in modo costante, dal 2012 ad oggi, è la portata del concetto di abusività dell'accesso.

Al di là, infatti, delle ipotesi più scontate di comportamenti abusivi in sé e per sé considerate, di sottrazione delle chiavi d'accesso o di elusione dei sistemi di protezione informatica, dottrina e giurisprudenza hanno dovuto confrontarsi con la casistica di accessi effettuati da soggetti che legittimamente detenevano le chiavi d'accesso ma che le hanno utilizzate per scopi diversi da quelli per cui erano state attribuite.

Prima della sentenza del dicembre 2020, con riferimento all'associazione professionale, l'accesso abusivo per finalità extraistituzionali è stato oggetto di un intervento delle Sezioni Unite della Cassazione, nel 2012. Con tale provvedimento, n. 4694 del 17 febbraio 2012, le Sezioni Unite hanno affermato che la condotta penalmente rilevante ai sensi dell'art. 615-ter c.p. consiste sia nell'accesso che nel mantenimento del soggetto abilitato che «violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l'accesso».

La finalità dell'agente, al contrario, era considerata irrilevante, perché la Cassazione ha ritenuto di privilegiare l'aspetto oggettivo del complesso di limiti e della natura dell'operazione svolta mediante l'utilizzo delle credenziali. In conclusione, le Sezioni Unite hanno ritenuto che, ove l'ingresso nel sistema avvenisse al di là dei limiti oggettivi di cui sopra, la natura abusiva dell'accesso fosse determinata proprio, e soltanto, dalla violazione delle prescrizioni.

Nel caso analizzato il ricorrente sosteneva che non si fosse trattato di un accesso abusivo sia perché ne aveva il potere “nella veste di direttore e superiore della dipendente” a cui aveva chiesto le credenziali, “anche al fine di controllarne il lavoro”, sia perché fino a poco tempo prima egli aveva accesso in prima persona a quei dati. Per la Suprema Corte, tuttavia, la Corte d'appello ha giustamente ritenuto non convincente l'argomento che fa leva sul potere del “capo” di accedere a qualsiasi luogo aziendale (come in un magazzino, esemplificano i giudici) per controlli su chi gli sia subordinato gerarchicamente; nel caso di un sistema informatico protetto da credenziali, si legge nella decisione, è evidente che «ogni soggetto abilitato ha la sua ‘chiave' personale (nella fattispecie le credenziali d'accesso)». «Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l'accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua». È perciò errato ritenere che l'imputato «solo per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro, dovevano restare nella disponibilità di solo alcuni dipendenti, per quanto subordinati al ricorrente». Per giunta, in tal modo il ricorrente aveva fatto «risultare falsamente che l'accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali». In definitiva non vi è stato alcun travisamento da parte della Corte di appello che ha «semplicemente preso atto del fatto che il ricorrente, contro il volere del suo datore di lavoro fosse entrato in una banca dati a lui inibita». Né conta che il ricorrente sino a poco prima potesse accedere ai dati; tali argomentazioni, infatti, «cedono il passo a fronte della banale considerazione che egli, pacificamente, ha dovuto chiedere le credenziali ad altra dipendente» il che rende «di per sé manifesto il mutato volere del datore di lavoro». Del resto, tornando all'esempio del magazzino (richiamato nel Provvedimento analizzato), il datore di lavoro potrebbe decidere di limitarne l'accesso ad una parte soltanto dei dipendenti, «ove pure gerarchicamente sotto ordinati ad altri». Né le norme civili, né quelle penali, proseguono i giudici, «impongono, poi, di scoprire le ragioni dell'accesso abusivo (come infondatamente reputa l'imputato allorché richiama l'assoluzione dall'accusa della copiatura dei dati su un suo supporto personale)».

Osservazioni

Al fine prevenire l'accesso abusivo da parte dei dipendenti e tutelare la riservatezza dei dati aziendali, le organizzazioni devono adottare adeguate misure di sicurezza a protezione dei propri sistemi informatici.

La prima misura preventiva consiste nell'implementazione dei controlli di accesso. Questo aspetto può includere l'assegnazione di password uniche e complesse, l'uso di sistemi di autenticazione a più fattori e la limitazione delle possibilità di accesso solo ai dipendenti autorizzati. Inoltre, è essenziale condurre regolarmente audit di sicurezza per identificare e risolvere potenziali vulnerabilità nei sistemi.

La formazione sulla sicurezza informatica è un'altra componente fondamentale nella prevenzione dell'accesso abusivo ai sistemi informatici. I dipendenti devono essere consapevoli delle politiche di sicurezza aziendale, comprese le conseguenze legali e disciplinari associate a eventuali comportamenti illeciti. La formazione comprende l'istruzione su come riconoscere le minacce informatiche, l'importanza di mantenere password sicure, l'utilizzo consapevole delle risorse aziendali e il rispetto delle politiche di utilizzo dei dispositivi aziendali.                                                                                    

La promozione di una cultura di sicurezza informatica in azienda è fondamentale per garantire che tutti i dipendenti siano consapevoli delle responsabilità e delle conseguenze associate all'accesso abusivo e agiscano in conformità con le normative e le policy vigenti.

Inoltre, è auspicabile seguire dei metodi finalizzati a prevenire l'accesso abusivo ai sistemi informatici. In particolare, oltre a dotarsi di sistemi efficienti di sicurezza informatica, è necessario prevenire gli accessi abusivi interni per mezzo di un sistema di policy e di istruzioni rivolte a dipendenti e collaboratori con indicazioni esplicite che limitino l'utilizzo di dispositivi aziendali per scopi personali.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.