Accesso abusivo al sistema informatico del direttore con le credenziali del collaboratore

Accesso abusivo al sistema informatico del direttore con le credenziali del collaboratore

Viola le direttive del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione (Cassazione - sentenza 31 ottobre 2024 n. 40295, sez. V pen.)

Il caso

La Corte d'appello di Firenze confermava la condanna emessa nei riguardi di un lavoratore per il reato di cui all'art. 615-ter cod. pen., perché, quale impiegato presso una struttura ricettivo-alberghiera, aveva acquisito da altra impiegata, a lui gerarchicamente subordinata, le credenziali di accesso al sistema informatico aziendale per l'archiviazione e la gestione a fini promozionali del parco clienti, comprensivo di circa 90.000 schede individuali, e vi aveva fatto accesso abusivo per scopi estranei al mandato ricevuto.
Avverso tale decisione il lavoratore ha proposto ricorso per cassazione, lamentando, tra i motivi, che, non si fosse trattato di accesso abusivo, atteso che egli stesso, trovandosi in posizione apicale, doveva ritenersi legittimato a chiedere le credenziali alla lavoratrice subordinata e la carenza, in capo allo stesso, di credenziali personali di accesso non significava che egli, quale direttore della struttura, non avesse il potere di farlo; al contrario, quale quadro con funzioni direttive, l'imputato non poteva che essere autorizzato (anche per controllare il lavoro delle dipendenti a lui sottoposte, titolari delle credenziali di accesso) ad accedere al sistema informatico in questione.
Ad avviso dell’imputato, inoltre, i dati in esame erano stati sino a poco tempo prima a sua disposizione e, in particolare, fino all'eliminazione di una cartella condivisa di backup dalla rete, tutti i dipendenti connessi alla rete aziendale potevano tranquillamente consultare i predetti dati.

La decisione della Cassazione

La Suprema Corte ha rigettato il ricorso del direttore, condividendo le conclusioni della Corte d'appello che aveva ritenuto non convincente l'argomento che faceva leva sul potere del direttore di accedere a qualsiasi luogo aziendale (come in un magazzino, si esemplifica) per controlli su chi gli era subordinato gerarchicamente.
Invero, come evidenziato dal Collegio, nel caso di un sistema informatico protetto da credenziali, ogni soggetto abilitato ha la sua "chiave" personale (ovvero le credenziali d'accesso). Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua.
Ad ogni modo, spetta al datore di lavoro, ex artt. 2086 e 2104 cod. civ., l'organizzazione dell'impresa da lui gestita, essendo anche i suoi collaboratori apicali comunque tenuti a rispettarne le direttive così come rientra nella piena discrezionalità del datore di lavoro stabilire le modalità di controllo di eventuali mancanze dei dipendenti, direttamente o meno, non necessariamente mediante la propria organizzazione gerarchica, ma anche a mezzo di soggetti estranei all'organizzazione lavorativa.
Dunque, era errato ritenere che, nel caso di specie, l’imputato, sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro, dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente). Il direttore aveva, dunque, certamente violato le menzionate disposizioni civili (in particolare quella secondo cui il prestatore di lavoro deve «osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore», di cui all’art. 2104 cod. civ.), laddove, non autorizzato, aveva fatto accesso ad una banca dati di cui non aveva le credenziali (perché nella sua discrezionalità il datore di lavoro aveva ritenuto di non fornirgliele), facendo, per giunta, risultare falsamente che l'accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali.
Correttamente, ancora, la Corte d'appello aveva ritenuto irrilevante che sino a poco prima, secondo le pregresse disposizioni datoriali, il lavoratore potesse accedere ai dati in esame, e che, a suo dire, egli non sapesse del divieto formulato dal datore di lavoro; difatti, egli aveva dovuto chiedere le credenziali ad altra dipendente per poter entrare nella banca dati in questione sino a quel momento liberamente accessibile, il che rendeva di per sé manifesto il mutato volere del datore di lavoro.
In definitiva, la Corte d'appello aveva preso atto del fatto che il lavoratore, contro il volere del suo datore di lavoro e in violazione delle menzionate disposizioni del codice civile, fosse entrato in una banca dati a lui inibita, in quanto la protezione di una banca dati con delle credenziali da parte del datore di lavoro dimostrava l'intenzione di quest’ultimo di non farvi accedere chicchessia, ove pure gerarchicamente sovraordinato a chi fosse autorizzato a farlo.
Tanto premesso, i giudici di legittimità hanno affermato che viola le direttive (quand'anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso.

Di Chiara Ranaudo

Fonte normativa

• Cassazione - sentenza 31 ottobre 2024 n. 40295, sez. V pen.