L’accesso abusivo a sistema informatico all’interno del rapporto di lavoro

La recente sentenza della Corte di Cassazione (Sez. V penale, 31.10.2024, n. 40295) chiarisce l’ambito di applicazione del reato di “Accesso abusivo ad un sistema informatico” all’interno del rapporto di lavoro.


La vicenda esaminata si riferisce alla condotta del direttore di una struttura alberghiera, connotata dall’utilizzo di credenziali fornitegli da un collega gerarchicamente subordinato per accedere a un database aziendale contenente circa 90.000 schede di clienti.

La Corte territoriale, chiamata a pronunciarsi in grado d’appello, aveva ritenuto che tale accesso, seppur avvenuto tramite credenziali valide, dovesse essere ritenuto abusivo, poiché effettuato per scopi estranei al mandato ricevuto.

In sede di legittimità, già in precedenza la Corte di Cassazione aveva approfondito il concetto del c.d. "accesso disfunzionale", ovvero quello realizzato tramite l'uso improprio di credenziali legittime per finalità non autorizzate: si tratta di un’ipotesi, in particolare, che si verifica allorquando l’ingresso al sistema informatico avviene da parte di un soggetto autorizzato, che tuttavia vi accede per finalità diverse rispetto a quelle per cui l’autorizzazione gli era stata rilasciata.

La Suprema Corte, nella sentenza qui scrutinata, innanzitutto esclude che il superiore gerarchico abbia automaticamente, per ciò solo, il potere di accesso al sistema informatico, le cui credenziali di accesso sono nella disponibilità del sottoposto: “(…) è errato, in diritto, secondo le norme civili anzidette, prima che infondato in fatto, ritenere che, nella specie, il Ca.Sa., sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro (per quanto in fatto ricostruito dalla Corte d'appello), dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente). E il Ca.Sa. ha certamente violato le menzionate disposizioni civili (in particolare quella secondo cui il prestatore di lavoro deve "osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore", di cui all'art. 2104 cod. civ.), laddove, non autorizzato, ha fatto accesso ad una banca dati di cui non aveva le credenziali (perché nella detta sua discrezionalità il datore di lavoro aveva ritenuto di non fornirgliele), facendo, per giunta, risultare falsamente che l'accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali (…)”.

Al riguardo, la Corte ribadisce che “(…) deve, in definitiva, affermarsi che viola le direttive (quand'anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso (su tale ultima parte, vedasi Sez. 2, n. 36721 del 21/02/2008, Rv. 242084-01) (…)”.

Dalla lettura della sentenza in commento si possono, conseguentemente, trarre importanti implicazioni sul piano operativo - sia per le imprese e per le figure datoriali o gerarchicamente sovraordinate, sia per i dipendenti ed in genere i sottoposti – così sintetizzabili:

- adottare policy di sicurezza chiare, tali da garantire che l'accesso ai sistemi sia strettamente regolamentato;
- verificare in concreto, attraverso puntuali presidi organizzativi e tecnici, il puntuale rispetto in ambito aziendale delle procedure per l’accesso ai sistemi informatici;
- precisare che la finalità di controllo e/o tutela giustifichi, di per sé stessa, la legittimità dell’accesso.