Accesso abusivo a sistema informatico. Sulla configurabilità del reato in caso di invio dei dati di un cliente a un collega che non ne ha accesso

È illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i doveri di fedeltà e lealtà che connotano anche il rapporto di lavoro privatistico, manifestandosi in tal modo la “ontologica incompatibilità” dell'accesso al sistema informatico, connaturata a un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.

Al dipendente di una banca era stata ascritta l'ipotesi di reato di cui all'art. 615-ter c.p. e per tale motivo veniva tratto a giudizio per essersi trattenuto nel sistema informatico della banca al fine di trasmettere a un collega dati relativi a uno dei clienti, in violazione dei limiti della propria autorizzazione a accedere e permanere nel sistema protetto.

La Corte di appello di Milano, sentenza 10 luglio 2017, in riforma della sentenza di condanna di primo grado, proscioglieva l'imputato dal reato di cui all'art. 615-ter c.p., perché estinto per intervenuta prescrizione, confermando, tuttavia, l'impianto accusatorio e quindi le statuizioni civili pronunciate in favore della banca presso la quale il medesimo era impiegato costituita parte civile.

La responsabilità dell'imputato, ai soli effetti civili, derivava dall'avere concorso con un collega nel trattenersi abusivamente all'interno del sistema informatico protetto della banca. L'attività materiale era stata posta in essere dal secondo, il quale, utilizzando l'account di posta elettronica attivato sul dominio della banca e a lui in uso, aveva inviato due e-mail alla casella di posta aziendale del primo, allegando un file excel contenente informazioni bancarie riservate, alle quali quest'ultimo non aveva accesso (nominativo del correntista e saldo di conto corrente), nonché per aver inviato due ulteriori e-mail di analogo contenuto, che il destinatario inoltrava al proprio indirizzo di posta personale.

L'apporto concorsuale dell'imputato era consistito nell'avere istigato il proprio collega a commettere il reato.

La questione affrontata concerne chiunque lavori in una banca o in un'altra grande azienda dove ciascuno dei dipendenti ha un proprio terminale collegato a una banca dati.

L'accesso al sistema informatico della società non è uguale per tutti: alcuni infatti possono consultare tutte le informazioni di “base” della clientela (nomi, cognomi, indirizzo, tipologia di contratto, ecc.); altri invece hanno la possibilità di visualizzare ulteriori dati più riservati, anche sensibili (rectius “particolari”) come ad esempio il reddito dichiarato, eventuali rischi collegati alla persona e alla sua attività, trascorsi penali, ecc.

Se un dipendente ha bisogno di analizzare alcune informazioni relative a un cliente e il suo computer non dispone delle autorizzazioni necessarie per visualizzare l'intera scheda, potrebbe chiedere a un collega di inoltrargli il file dalla sua postazione, invece abilitata a tale verifica.

Quest'ultimo potrebbe, anche solo per mera cortesia, “girare” la mail con l'allegato.

Tale condotta può costituire reato?

No secondo l'imputato, in quanto non sarebbe stata sussistente una policy aziendale in tema di condivisione di informazioni tra i vari desk della banca, in quanto tutti i componenti di un gruppo di lavoro condividevano con gli altri le informazioni giunte al proprio desk. La lista, oggetto di trasmissione, era stata inviata a tutti i capi desk, sicché, data la condivisione delle informazioni all'interno di ciascun desk, era visibile alla totalità dei dipendenti e quindi anche all'imputato.

Ancora, si deduceva che la casella di posta elettronica in uso all'imputato “concorrente” che aveva messo “a disposizione” il proprio account costituirebbe domicilio informatico non della banca, ma del dipendente titolare della casella, con conseguente impossibilità di inquadrare la fattispecie nel reato di cui all'art. 615-ter c.p.

Le doglianze sopra esposte venivano disattese dai giudici di merito di Milano.

Contro la sentenza della Corte distrettuale veniva interposto ricorso per cassazione dalla difesa dell'imputato ai soli fini della responsabilità civile, rigettato dalla Suprema Corte, Sez. V, (ud. 29 novembre 2018) 8 gennaio 2019, n. 565, che ha ripreso, in motivazione, quanto già precisato dalle Sezioni unite, ovvero il fatto che «integra il delitto previsto dall'art. 615-ter c.p. colui che, pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità che abbiano soggettivamente motivato l'ingresso nel sistema» (Sez. unite, 27 ottobre 2011, n. 4694, Casani) e il fatto che integra il delitto previsto dall'art. 615-ter c.p. la condotta di colui che «pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita» (Sez. unite, 18 maggio 2017, n. 41210, Savarese).

Secondo i giudici della Cassazione, dunque, in base agli orientamenti delle Sezioni unite, deve ritenersi responsabile di accesso abusivo al sistema informatico anche colui che abbia fatto sorgere il proposito criminoso nel collega (autore materiale del reato), istigandolo all'invio delle email contenenti informazioni riservate cui egli non poteva accedere perché non abilitato dal datore di lavoro in ragione del fatto che la conoscenza di tali informazioni non era necessaria ai fini dello svolgimento dei suoi compiti.

Benchè le decisioni su cui la Corte, in tale occasione, si è soffermata siano riferite al settore pubblico e dunque alla condotta di un pubblico funzionario, i principi ivi espressi possono essere trasferiti anche al settore privato, poiché rilevano i doveri di fedeltà e lealtà del dipendente che caratterizzano certamente anche il rapporto di lavoro privatistico. Ragion per cui deve ritenersi illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri «manifestandosi in tal modo la “ontologica incompatibilità” dell'accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere» (Sez. unite, n. 41210/2017, cit. in motivazione).

La dimostrazione del fatto che il comportamento tenuto dal ricorrente avesse effettivamente fatto sorgere il proposito criminoso nel collega, autore materiale, nel caso di specie, era stata dedotta dai giudici di merito dalle email scambiate tra i due dipendenti e dalla conferma da parte del correo dell'invio delle informazioni al ricorrente, elementi che la Cassazione ha ritenuto valide prove ai fini della condanna nel rispetto dei parametri valutativi come definiti dall'art. 192, comma 3, c.p.p., come enucleati dalla giurisprudenza di legittimità (cfr. per tutte Sez. unite, 29 novembre 2012, n. 20804).

Anche se dalla lettura della sentenza non è dato comprendere come la banca sia venuta a conoscenza della violazione del dipendente poi censurata in sede penale, essa consente tuttavia di svolgere alcune considerazioni circa la liceità dei controlli effettuati dal datore di lavoro sull'utilizzo dell'indirizzo di posta elettronica da parte del proprio dipendente: tali controlli possono ritenersi giustificati in base all'assunto che la email e, più in generale, la connessione Internet sono strumenti di proprietà del datore di lavoro, messi a disposizione del dipendente per il solo svolgimento della prestazione lavorativa. L'eventuale attività di controllo – indirizzata all'accertamento di condotte illecite del dipendente – non è, tuttavia, esente da limitazioni collegate al diritto di riservatezza ed al principio di inviolabilità delle comunicazioni: il necessario equilibrio tra le opposte esigenze viene ricondotto al “disciplinare” interno.

Ma procediamo con ordine.

Il controllo delle email dei dipendenti. Le novità introdotte dal cd. Jobs Act in materia di controllo a distanza dei dipendenti hanno toccato solo in minima parte il rispetto dei principi di cui all'art. 4, comma 2, dello statuto dei Lavoratori, secondo cui gli impianti e le apparecchiature di controllo dai quali derivi la possibilità di monitorare l'attività del lavoratore possono essere installati previo accordo con le rappresentanze sindacali aziendali (R.S.U.) o, in mancanza di queste, con la commissione interna. In difetto, provvede l'Ispettorato del lavoro dettando, se occorre, le modalità per l'utilizzo corretto di questi impianti.

Alla luce della normativa vigente, occorre chiedersi se posta elettronica e connessione Internet rientrino o meno nella previsione dell'art. 4 dello Statuto, trattandosi di strumenti che rendono possibile il controllo a distanza delle attività del lavoratore attraverso, ad esempio, la registrazione dei log della navigazione o mediante la consultazione dei messaggi di posta elettronica memorizzati sul server aziendale.

Secondo la giurisprudenza, l'art. 4 si applica esclusivamente a strumenti esterni allo svolgimento della prestazione lavorativa (come i sistemi di videosorveglianza), mentre la posta elettronica e la connessione Internet sono esclusi dall'ambito di applicazione della norma in quanto strumenti necessari per l'adempimento, da parte del collaboratore, della prestazione lavorativa.

In tal senso cfr. Gip Tribunale di Milano, ordinanza di archiviazione del 10 maggio 2002: vero è che l'indirizzo di posta elettronica aziendale in uso al lavoratore ha carattere personale, nel senso che lo stesso viene attribuito al singolo lavoratore per l'esercizio delle proprie mansioni, tuttavia “personalità” dell'indirizzo non significa necessariamente “privatezza” del medesimo. L'indirizzo aziendale, proprio perché tale, rientra nella disponibilità di accesso da parte di persone diverse dall'utente abituale, perché la posta elettronica, anche se assegnata al singolo, deve essere intesa come semplice strumento di lavoro.

Secondo l'ordinanza, pertanto, non è configurabile un controllo sulle attività del lavoratore, ciò in considerazione della natura aziendale dello strumento, atteso che l'uso della posta elettronica costituisce un mezzo di comunicazione messo a disposizione dell'utente lavoratore al solo fine di consentire lo svolgimento della propria attività.

Il Tribunale penale di Torino (sentenza del 20 giugno 2006) ha ribadito che i personal computer utilizzati dai dipendenti dell'azienda sono strumenti di lavoro forniti esclusivamente per lo svolgimento dell'attività aziendale, e come tali devono essere equiparati agli altri strumenti a disposizione dei dipendenti. Il servizio informatico dell'azienda, pertanto, può accedere ai Pc aziendali in forza della security-policy adottata e resa nota a tutti i dipendenti.

In particolare, l'accesso alla posta elettronica è possibile, e legittimo, attraverso l'uso della password la cui conoscenza sia stata in precedenza legittimamente acquisita dal soggetto preposto alla custodia delle parole chiave.

La comunicazione della password acconsente, in caso di emergenza e/o assenza del lavoratore (ed esclusivamente per esigenze di carattere aziendale), l'accesso al suo computer e ai suoi contenuti.

Tale indirizzo è stato confermato da Cass. pen. sez. V, 19 dicembre 2007, n. 47096, per la quale il datore di lavoro può leggere la posta elettronica aziendale del lavoratore se è prevista la comunicazione delle credenziali di autenticazione al superiore gerarchico.

Nel caso in cui il sistema preveda una password posta a protezione del computer e della corrispondenza di ciascun dipendente – e la stessa sia a conoscenza anche dell'organizzazione aziendale – essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, quest'ultimo è legittimato ad utilizzarla per accedere alla corrispondenza anche in caso di mera assenza dell'utilizzatore abituale.

Questo orientamento, secondo i giudici di legittimità, risulta conforme a quanto sostenuto dallo stesso Garante per la Privacy, il quale, con provvedimento n. 13 dell'1 marzo 2007, ha riconosciuto ai dirigenti dell'azienda il potere di accedere legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di accesso sia stata loro data piena informazione.

Nel provvedimento citato, il Garante fornisce alcune indicazioni in ordine all'uso dei computer in azienda.

L'Autorità prescrive al datore di lavoro l'obbligo di informare il lavoratore delle modalità di utilizzo di Internet e della posta elettronica. Vengono indicate una serie di misure tecnologiche e organizzative per evitare la possibilità, prevista solo in casi limitati, dell'analisi del contenuto della navigazione e dell'apertura di messaggi di posta elettronica contenenti dati necessari per l'attività aziendale.

Il provvedimento raccomanda l'adozione di un “disciplinare” interno nel quale devono essere indicate le regole per l'uso di Internet e della posta elettronica. Il “disciplinare”, redatto in modo chiaro e senza formule generiche, deve essere pubblicizzato adeguatamente e sottoposto ad aggiornamento periodico.

I limiti a tale potere. Ma cosa succede se i controlli vengono svolti dal datore in assenza di tale “disciplinare”?

La questione è stata affrontata dal Garante con un successivo provvedimento, n. 53 del 1° febbraio 2018, espressamente intitolato Trattamento di dati personali effettuato sugli account di posta elettronica aziendale. L´Autorità – intervenuta a seguito del reclamo di un dipendente – ha accertato che la società trattava in modo illecito i dati personali contenuti nelle email in entrata e in uscita, anche di natura privata e goliardica, scambiate dal lavoratore con alcuni colleghi e collaboratori. I dati raccolti nel corso di un biennio erano poi stati utilizzati per contestare un provvedimento disciplinare cui era seguito il licenziamento del dipendente poi annullato dal giudice del lavoro.

Alla società è stato vietato il trattamento di dati personali effettuato sulle email aziendali dei dipendenti in violazione della normativa sulla protezione dei dati e di quella sulla disciplina lavoristica: nel disporre il divieto, l'Autorità ha rilevato numerose e gravi violazioni.

La società non ha infatti fornito ai dipendenti alcuna informazione su modalità e finalità di raccolta e conservazione dei dati relativi all´uso della posta elettronica, né con una informativa individualizzata né attraverso la policy aziendale. Un comportamento in contrasto con l'obbligo della società di informare i lavoratori riguardo alle caratteristiche essenziali dei trattamenti effettuati, comprese le operazioni che possono svolgere gli amministratori di sistema (ad es., accesso ai contenuti delle email). La società, inoltre, conservava in modo sistematico i dati esterni e il contenuto di tutte le email scambiate dai dipendenti per l´intera durata del rapporto di lavoro e anche dopo la sua interruzione, violando così i principi di liceità, necessità e proporzionalità stabiliti dal Codice privacy, ed ora ribaditi dal G.D.P.R.. La società – afferma l'Autorità – anziché mettere in atto un trattamento così invasivo, avrebbe potuto agire in modo più efficiente e più rispettoso della riservatezza dei lavoratori predisponendo dei sistemi di gestione documentale in grado di individuare selettivamente i documenti che avrebbero dovuto essere via via archiviati. Inoltre –continua il Garante – la conservazione estesa e sistematica delle mail, la loro memorizzazione per un periodo indeterminato e comunque amplissimo nonché la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto (ad es. difesa in giudizio, perseguimento di un interesse legittimo) consente il controllo dell´attività dei dipendenti. Controllo vietato dalla disciplina di settore che non autorizza, anche dopo le modifiche del Jobs Act, verifiche massive, prolungate e indiscriminate. Il datore di lavoro, infatti, pur potendo controllare l´esatto adempimento della prestazione e il corretto uso degli strumenti di lavoro, deve sempre salvaguardare la libertà e la dignità dei dipendenti.

Ingiustificata, in particolare, la raccolta a priori di tutte le email in vista di futuri ed eventuali contenziosi: il Garante ha ribadito infatti che la conservazione deve riferirsi a contenziosi in atto o a situazioni precontenziose e non a ipotesi astratte e indeterminate. Il Garante ha ritenuto, infine, non conforme alla legittima aspettativa di riservatezza della corrispondenza l'accesso della società alle email in ingresso sull'account aziendale dopo il licenziamento del lavoratore. Al cessare del rapporto di lavoro la casella di posta elettronica deve essere disattivata e rimossa e al suo posto di devono attivare eventuali alternativi.

L'Autorità si è riservata di valutare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione di violazioni amministrative nei confronti della società, in relazione all´omessa informativa agli interessati per i trattamenti effettuati attraverso il servizio di posta elettronica, ricordando che, ai sensi dell´articolo 170 del codice, «chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´articolo 162, comma 2-ter del codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro».

L'interazione tra sanzioni penali e amministrative. La decisione del Garante da ultimo citata dimostra quanto sia necessario predisporre strumenti che consentano di realizzare il migliore esercizio dell'azione di accertamento di eventuali illeciti, coordinando nella maniera più efficiente i procedimenti sanzionatori in sede penale e in sede amministrativa.

In tale direzione va il protocollo d'intesa per l'attuazione delle nuove norme sulla protezione dei dati personali – artt. 167, comma 4, 167-bis, comma 3 e 167-ter, comma 2, d.lgs. 30 giugno 2003, n. 196, introdotti dal d.lgs.10 agosto 2018, n. 101 che recepisce il G.D.P.R. – sottoscritta l'8 gennaio 2019 dalla Procura della Repubblica di Roma e dal Garante per la protezione dei dati personali.

Il protocollo intende disciplinare le modalità attuative della norma che impone al pubblico ministero di informare senza ritardo il Garante qualora abbia notizia di specifici reati in materia di protezione dei dati personali.

Si prevede, in particolare, che alla comunicazione sia tenuto il pubblico ministero assegnatario del procedimento e non il Procuratore della Repubblica, in ragione della specifica competenza propria del primo in ordine al procedimento stesso e di esigenze di celerità dell'informazione, soddisfatte evitando il passaggio ulteriore dal Pm procedente al Procuratore, possibile causa di dilazione temporale. Il protocollo individua inoltre, nell'avvenuta notifica, all'indagato e al difensore, dell'avviso di conclusione delle indagini, il momento a partire dal quale deve essere effettuata, appunto senza ritardo, la comunicazione al Garante degli elementi necessari ai fini dell'accertamento di eventuali illeciti in materia di protezione dei dati personali correlati al fatto di reato. Tale scansione procedimentale consente di rispettare nella maniera più rigorosa il segreto investigativo in relazione al procedimento penale in corso e l'efficienza dell'azione del Garante, limitando la comunicazione ai casi nei quali gli elementi acquisiti siano idonei a sostenere l'accusa in giudizio.

La sentenza in commento, i citati provvedimenti del Garante, e, da ultimo, il recente protocollo firmato a Roma consentono di affermare che ormai la “questione della privacy” non può essere relegata a mero adempimento burocratico-formale: da un lato, il dipendente, vista l'equiparazione operata, ai fini penali, tra lavoratore pubblico e privato, deve attenersi al rispetto del principio di minimizzazione dei dati per cui ogni soggetto autorizzato al trattamento deve accedere unicamente ad informazioni personali per le quali ha ricevuto un'autorizzazione perché trattasi di informazioni connesse allo svolgimento delle proprie mansioni; dall'altro il datore di lavoro deve, preventivamente, rendere nota la policy aziendale in tema di controlli della posta elettronica, e poi deve provvedere ad autorizzare ed istruire il dipendente (artt. 29 e 32 G.D.P.R.).

In caso di violazione, soprattutto per quanto concerne la posizione del datore, ne potrebbe derivare un'applicazione congiunta di sanzioni amministrative e penali.

V. BELVISO, L'uso di impianti audiovisivi e di altri strumenti di controllo a distanza dei lavoratori tra Statuto dei lavoratori e Jobs Act, nota a Cass. pen., Sez. III, 8 settembre 2016 (dep. 6 dicembre 2016), n. 51897;

C. PARODI, La nuova disciplina penale sulla riservatezza: i profili procedurali e le sanzioni in tema di dati giudiziari.