Apparentemente nulla di nuovo per quanto riguarda il reato di accesso abusivo ai sistemi informatici, ma il tema è caldo, specie in questo preciso momento storico caratterizzato dal caso dossieraggi.
Con la sua sentenzam la Suprema Corte rafforza un concetto che dovrebbe essere ben noto e chiaro a tutti, e anche da tempo immemore: le credenziali sono – e devono essere — assolutamente personali e riservate, a tutti i livelli e in ogni contesto.
Indice degli argomenti
La sentenza del Corte di Cassazione nei fatti
La Cassazione Penale, Sezione Quinta, con la sentenza n. 40295 del 31 ottobre 2024 ha statuito che nessuno nemmeno un superiore gerarchico, può nel senso che è legittimato ad accedere a un sistema informatico aziendale protetto, per il solo fatto di essere in posizione dominante.
Per contro il dipendente/sottoposto non deve in alcun modo trasmettere “con leggerezza” le proprie credenziali di accesso, le quali sono (e tali devono restare) assolutamente riservate.
I fatti e la difesa nei rispettivi gradi di giudizio
Il direttore di un hotel in quel di Chianciano Terme si era fatto dare da altra impiegata, al medesimo gerarchicamente subordinata, le proprie credenziali al fine di “accedere al sistema informatico aziendale per l’archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali”, sì accedendovi “per scopi estranei al mandato ricevuto” cd accesso disfunzionale, di cui diremo dopo.
Il dirigente, tuttavia, sosteneva in primo e secondo grado di giudizio di averne (avuto) il diritto e il potere “nella veste di direttore e superiore della dipendente” (primo problema) alla quale aveva chiesto le chiavi di accesso, “anche al fine di controllarne il lavoro” (secondo problema). Oltre tutto si difendeva dicendo anche che comunque lui stesso, fino a qualche tempo prima, poteva accedere direttamente a quei dati. Altra anomalia.
La Corte di appello di Firenze, adita in secondo grado, confermava la sentenza di condanna emessa dal Tribunale di Siena. Sicché il superiore (quadro con funzioni direttive) presentava ricorso per Cassazione.
In diritto, a fronte dei passaggi più salienti
Per la Suprema Corte “il ricorso è infondato”, si legge in prima battuta nelle considerazioni “…in diritto”. Tra i passaggi più salienti, è interessante notare come nel ritenere l’infondatezza, i Giudici supremi partono con l’affermare testualmente che se “in un magazzino solitamente non vi sono ragioni di segretezza da tutelare e, pertanto, non è necessario che si lasci traccia di chi vi acceda.
Per contro, nel caso di un sistema informatico protetto da credenziali, è evidente che non sia così: ogni soggetto abilitato ha la sua “chiave” personale (ovvero le credenziali d’accesso).
Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua”. I famosi log.
Ma non è l’unico passaggio interessante della sentenza in parola, ve ne è anche un altro che merita attenzione laddove prima di scrivere il principio di diritto, leggiamo come “tutti gli argomenti sopra evidenziati sono stati correttamente ritenuti infondati dalla Corte d’appello sulla base dell’unica logica spiegazione desumibile dalla protezione di una banca dati con delle credenziali, da parte del datore di lavoro: ovvero l’intenzione di non farvi accedere chicchessia, ove pure gerarchicamente sovraordinato a chi sia autorizzato a farlo”. E, tanto basta.
La massima
Di qui la massima a mente della quale “Viola le direttive, implicite ma chiare, del datore di lavoro, il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione, essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso”.
Non importa dunque la posizione del dipendente/superiore/direttore/dirigente, le credenziali sono assolutamente personali e riservate, e in forza di ciò nessuno ha titolo per farne uso, se non il diretto interessato quand’anche fosse l’ultimo arrivato.
Il sistema informatico protetto: “sua maestà”
Qualunque sistema informatico che sia protetto da credenziali non è un magazzino né un archivio a cui tutti o quasi, nemmeno gli apicali, possono accedervi. Né importa che si abbiano le password: non si può entrare in alcun modo.
Se si viola questa semplice regola ecco che si commette reato di “accesso abusivo ai sistemi informatici” (art. 615 ter c.p.) rinviando a quanto già scritto sulla portata della fattispecie criminosa.
Per la Suprema Corte infatti “la protezione del sistema tramite credenziali di accesso dimostra già la volontà dell’azienda di riservare l’accesso solo a determinate persone”.
Ne discende che ogni utente autorizzato è tenuto ad usare soltanto le proprie credenziali personali per accedere ai dati, lasciando così traccia digitale del proprio accesso (log), per motivi di sicurezza. Né le mansioni superiori conferiscono in automatico l’autorizzazione ad accedere a dati riservati; fatta salva diversa disposizione esplicita del datore di lavoro, e poi ancora in quanto quest’ultima è tutta valutare in termini di necessità/opportunità.
D’altra parte, è assolutamente condivisibile voler/dover tutelare “l’interesse sostanziale (a prescindere dalle formalità) del proprietario a vedere preservata sia l’integrità che la riservatezza del patrimonio informativo, mediante la predisposizione di un sistema informatico posto a presidio”.
L’accesso disfunzionale
Per “accesso disfunzionale” si deve intendere un accesso non autorizzato o improprio e utilizzato in modo non conforme alle regole stabilite. Ciò comporta una violazione della sicurezza con delle conseguenze, anche gravi, sia per l’utente che per il sistema stesso.
Esistono diversi tipi di accesso cd “disfunzionale”, e in particolare quell’accesso:
- non autorizzato, allorquando una persona non autorizzata riesce a entrare in un sistema informatico con password rubate, attacchi di phishing o sfruttando vulnerabilità del sistema;
- abusivo, nonostante l’autorizzazione ad accedere al sistema, compiendo azioni illecite (come la copia non autorizzata di dati, la modifica di file di sistema o l’interruzione dei servizi ecc.);
- improprio, ovvero pur essendo autorizzato, tale accesso viene effettuato utilizzando modalità non consentite o con finalità diverse da quelle previste.
Le conseguenze sono evidenti: dal furto di dati ai danni al sistema, causando interruzione di servizi e quindi danni reputazionali incalcolabili.
È sì possibile prevenire l’accesso disfunzionale grazie all’uso di password strutturalmente forti; aggiornando regolarmente software e sistemi operativi; installando antivirus e firewall, prestando massima attenzione alle e-mail specie quelle sospette (phishing), e da ultimo ma non ultimo facendo backup a cadenza regolare e ripetuta.
In una frase, quella conclusiva, ben nota ma evidentemente mai scontata, che ribadisce l’importanza assai fondamentale di adottare misure di sicurezza adeguate nella consapevolezza dei rischi.
