Penale

Accesso abusivo al sistema informatico se la password è del proprio collaboratore

La Cassazione, sentenza n. 40295 depositata oggi, chiarisce che il reato scatta anche se ad accedere è un superiore del dipendente che si è fatto dare le credenziali

immagine non disponibile

di Francesco Machina Grifeo

Mentre il Governo annuncia una ulteriore stretta in materia cybersicurezza, possibile anche con la creazione di nuove fattispecie di reato o comunque un aggravio di pene, la Cassazione chiarisce meglio l’ambito di applicazione del reato di “Accesso abusivo ad un sistema informatico” all’interno di un rapporto di lavoro. Già con le norme attualmente in vigore, precisa la Corte, commette il reato previsto dall’articolo 615 ter del Cp, chiunque entri in un sistema informatico protetto da password senza averne diritto. Anche se si tratta del superiore gerarchico che si è fatto dare le credenziali dal proprio collaboratore.

Per la V Sezione penale (sentenza n. 40295 depositata oggi) “viola le direttive (quand’anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso”.

La Suprema corte ha così respinto il ricorso di un uomo condannato (il reato si è tuttavia prescritto, dunque la Corte ha statuito ai soli fini civili) perché in qualità di impiegato di un albergo di Chianciano Terme, si era fatto dare da un’altra impiegata, seppure a lui gerarchicamente subordinata, le chiavi di accesso al sistema informatico aziendale per l’archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali, accedendovi per scopi estranei al mandato ricevuto.

Il ricorrente ha sostenuto che non si fosse trattato di un accesso abusivo sia perché ne aveva il potere “nella veste di direttore e superiore della dipendente” a cui aveva chiesto le credenziali, “anche al fine di controllarne il lavoro”, sia perché fino a poco tempo prima egli aveva accesso in prima persona a quei dati.

Per la Suprema corte, però, la Corte d’appello ha giustamente ritenuto non convincente l’argomento che fa leva sul potere del direttore di accedere a qualsiasi luogo aziendale (come in un magazzino, si esemplifica) per controlli su chi gli sia subordinato gerarchicamente. Nel caso di un sistema informatico protetto da credenziali, si legge nella decisione, è evidente che “ogni soggetto abilitato ha la sua ‘chiave’ personale (ovvero le credenziali d’accesso)”. “Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua”.

È perciò errato, prosegue, ritenere che l’imputato “sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro, dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente)”. Per giunta, in tal modo il ricorrente ha fatto “risultare falsamente che l’accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali”.

Né conta che il ricorrente sino a poco prima potesse accedere ai dati, tale argomento infatti “cedono il passo a fronte della banale considerazione che egli, pacificamente, ha dovuto chiedere le credenziali ad altra dipendente”; il che rende “di per sé manifesto il mutato volere del datore di lavoro”

Del resto, tornando all’esempio del magazzino, il datore ben potrebbe decidere di limitarne l’accesso ad una parte soltanto dei dipendenti, “ove pure gerarchicamente sotto ordinati ad altri”. Né le norme civili, né quelle penali, prosegue, “impongono, poi, di scoprire le ragioni dell’accesso abusivo (come infondatamente reputa l’imputato allorché richiama l’assoluzione dall’accusa della copiatura dei dati su un suo supporto personale).

In definitiva non vi è stato alcun travisamento da parte della Corte di appello che ha “semplicemente preso atto del fatto che il ricorrente, contro il volere dei suo datore di lavoro … fosse entrato in una banca dati a lui inibita”.

Per saperne di piùRiproduzione riservata ©