La Cassazione Penale, con la sentenza n°40295 del 31 ottobre 2024, ha stabilito che nemmeno un ordine superiore gerarchico legittima l’accesso a un sistema informatico aziendale protetto, semplicemente perché la persona si trova in una situazione di potere dominante.
La Corte ha chiarito che, nel caso di un accesso abusivo ai sistemi informatici, anche un superiore gerarchico che accede a un sistema informatico protetto aziendale utilizzando credenziali fornite da un collaboratore subordinato commette un reato.
Il dipendente, infatti, non deve trasmettere le proprie credenziali d’accesso, poiché sono personali e devono rimanere riservate.
Un caso significativo riguarda un direttore di un hotel in provincia di Siena, che aveva chiesto a una sua impiegata di fornirgli le credenziali per “accedere al sistema informativo aziendale per archiviare e gestire con scopi promozionali 90.000 schede individuali”. In realtà, il direttore le utilizzò per scopi estranei a quelli dichiarati. Questo tipo di accesso è stato giudicato disfunzionale.
Il direttore sosteneva di avere il diritto e il potere per di richiedere tali credenziali, ma ciò non è stato ritenuto legittimo. La Corte d’Appello di Firenze ha infatti confermato la sentenza di condanna.
Quando un’azienda ha un sistema informatico protetto, anche se non ci siano motivi di segretezza specifici da tutelare, è comunque necessario che l’accesso al sistema sia regolato da credenziali personali, ciascuna assegnata e un soggetto abilitato. Il datore di lavoro ritiene che le informazioni contenute nel sistema debbano essere protette, sia limitando gli accessi sia garantendo che ogni accesso lascia una traccia digitale (i log), per identificare chi ha eseguito l’operazione.
Per la Suprema Corte la protezione del sistema tramite credenziali di accesso dimostra chiaramente la volontà dell’azienda di limitare l’accesso a determinati individui. Ne consegue che ogni utente autorizzato deve usare solo le proprie credenziali personali per accedere al sistema.
Le mansioni superiori non conferiscono automaticamente l’autorizzazione ad accedere a dati riservati, salvo che non vi sia una disposizione esplicita del datore di lavoro che lo consenta. Inoltre, tale autorizzazione deve essere valutata in base alla necessità e all’opportunità.
L’accesso disfunzionale, quando si verifica un accesso non autorizzato o inappropriato, viene utilizzato in modo non conforme alle normative stabilite, con conseguenti violazioni della sicurezza. Le possibili conseguenze vanno dal furto dei dati ai danni al sistema, che possono comportare l’interruzione dei servizi.
Per prevenire l’accesso disfunzionale, è fondamentale utilizzare password robuste, mantenere aggiornati software e sistemi operativi, infine installare antivirus e firewall.
F.M.
