La Corte d’appello di Firenze confermava la condanna emessa nei riguardi di XXX dal Tribunale di Siena per il “reato di cui all’articolo 615-ter cod. pen., perché quale impiegato presso la struttura ricettivo-alberghiera “Grand Hotel YYY” , acquisendo da altra
impiegata le credenziali di accesso al sistema informatico protetto aziendale denominato “***” per l’archiviazione e la gestione a fini promozionali del parco clienti comprensivo di circa 90.000 schede individuali, faceva accesso abusivo al predetto sistema informatico per scopi estranei al mandato ricevuto (c.d. accesso disfunzionale). il giorno 1.10.2015″.
L’imputato proponeva ricorso in Cassazione.
Nella specie è accaduto (dal punto di vista fattuale in modo del tutto pacifico) esattamente quanto descritto nel capo di imputazione: ovvero l’ingresso nella banca dati, da parte dell’imputato, attraverso le credenziali dategli da una dipendente della società titolare del sistema informatico violato.
Correttamente la Corte d’appello ha ritenuto non convincente l’argomento che fa leva sul potere del direttore di accedere a qualsiasi luogo aziendale (come in un magazzino, si esemplifica) per controlli su chi gli era subordinato gerarchica mente.
Anzitutto, in un magazzino solitamente non vi sono ragioni di segretezza da tutelare e, pertanto, non è necessario che si lasci traccia di chi vi acceda.
Per contro, nel caso di un sistema informatico protetto da credenziali, è evidente che non sia così: ogni soggetto abilitato ha la sua “chiave” personale (ovvero le credenziali d’accesso).
Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua.
Ad ogni modo, e più in generale, è noto che spetti al datore di lavoro, ex artt. 2086 e 2104 cod. civ., l’organizzazione dell’impresa da lui gestita, essendo anche i suoi collaboratori apicali comunque tenuti a rispettarne le direttive (così la pacifica giurisprudenza lavoristica: confronta in tali termini Sez. L, n. 7295 del 23/03/2018, Rv. 647543-01 e Sez. L, n. 18165 del 16/09/2015, Rv. 636422-01).
Così come è altrettanto noto rientri nella piena discrezionalità del datore di lavoro, in base alle dette norme civilistiche, stabilire le modalità di controllo di eventuali mancanze dei dipendenti, direttamente o meno, non necessariamente mediante la propria organizzazione gerarchica (Sez. L, n. 21888 del 09/10/2020, Rv. 659052-01; Sez. L, n. 3039 del 02/03/2002, Rv. 552733-01), ma anche a mezzo di soggetti estranei all’organizzazione lavorativa (Sez. L, n. 15094 del 11/06/2018, Rv. 649245-01).
Dunque, è errato ritenere che, nella specie, XXX, sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro (per quanto in fatto ricostruito dalla Corte d’appello), dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente).
E XXX ha certamente violato le menzionate disposizioni civili (in particolare quella secondo cui il prestatore di lavoro deve «osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartite dall’imprenditore», di cui all’art. 2104 cod. civ.), laddove, non autorizzato, ha fatto accesso ad una banca dati di cui non aveva le credenziali (perché nella detta sua discrezionalità il datore di lavoro aveva ritenuto di non fornirgliele), facendo, per giunta, risultare falsamente che l’accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali.
È evidente, poi, che una simile mistificazione non sarebbe neppure ipotizzabile nell’esempio fatto dalla difesa del ricorrente (accesso ad un magazzino di un soggetto a nome di un altro): che, pertanto, rivela in tal modo la sua non pertinenza.
Com’è pure chiaro, per quanto detto, che, laddove lo avesse ritenuto, il datore di lavoro ben potrebbe stabilire che al magazzino dell’esemplificazione fatta da parte ricorrente (magari perché in esso custoditi dati o beni la cui segretezza è da preservare) abbiano accesso solo alcuni dipendenti, ove pure gerarchicamente sotto-ordinati ad altri.
In maniera niente affatto illogica, men che meno in violazione delle norme civili disciplinanti la materia, la Corte d’appello ha ritenuto, dunque, di non aderire ad una simile impostazione e di desumere come maggiormente credibile la tesi secondo cui l’indisponibilità delle credenziali (in capo al ricorrente) provasse la sua carenza di potere al riguardo e il divieto (ove pure implicito, ma chiaro) impostogli dal datore di lavoro.
Né le norme civili, né quelle penali (il cui esame la difesa sollecita evidenziando la mancata prova del “movente”) impongono, poi, di scoprire le ragioni dell’accesso abusivo (come infondatamente reputa l’imputato allorché richiama l’assoluzione dall’accusa della copiatura dei dati su un suo supporto personale).
Infatti, come detto, le norme civili dispongono semplicemente che il dipendente si attenga alle direttive ricevute, mentre, secondo la norma incriminatrice è sufficiente che avvenga l’accesso ad un sistema protetto da una “password” (Sez. 2, n. 36721 del 21/02/2008, Rv. 242084-01): ciò che, di per sé, viola i limiti in tal senso posti dal titolare di quei dati (Sez. 2, n. 52680 del 20/11/2014, Rv. 261548-01; Sez. 5, n. 25683 del 30/04/2021).
Tanto senza trascurare come la Corte territoriale abbia, al riguardo, correttamente rimarcato che fosse stata proprio la dipendente ritenuta credibile dalla difesa del ricorrente ad evidenziare che l’imputato le avesse detto che volesse accedere alla banca dati per impratichirsi e non certo per (come qui continua a sostenere) salvaguardare i dati in questione e crearne un “backup” (a tutela della proprietà): ciò che logicamente è stata ritenuta, per quanto detto, una pretestuosa motivazione addotta in questa sede a mero scopo difensivo.
Correttamente, ancora, la Corte d’appello ha ritenuto irrilevante che sino a poco prima, secondo le pregresse disposizioni datoriali, XXX potesse accedere ai dati in esame, e che, a suo dire, egli non sapesse del divieto formulato dal datore di lavoro (e, anzi, neppure vi fosse certezza di un simile divieto).
Si tratta di argomenti che cedono il passo a fronte della banale considerazione che egli, pacificamente, ha dovuto chiedere le credenziali ad altra dipendente per poter entrare nella banca dati in questione sino a quel momento liberamente accessibile: il che, com’è logico che sia, è stato ritenuto rendesse di per sé manifesto il mutato volere del datore di lavoro (essendo evidente che proprio un siffatto radicale cambiamento doveva far ritenere che l’imputato fosse edotto che quanto faceva violava le direttive del datore di lavoro, il diritto di questi di tener secretati quei dati, dal momento della loro protezione con le credenziali, e le menzionate disposizioni civilistiche).
In definitiva, la Corte d’appello (laddove ha ritenuto che XXX avesse effettuato l’esportazione dei dati sul suo computer) aveva semplicemente preso atto del fatto che il ricorrente, contro il volere del suo datore di lavoro e (per quanto qui rileva ai fini civili) in violazione delle menzionate disposizioni del codice civile, fosse entrato in una banca dati a lui inibita.
Aver rimarcato che detti dati fossero, poi, rimasti a sua disposizione (seppure – come si precisa nel ricorso – su un supporto digitale aziendale: ma evidentemente e pur sempre in uso al XXX), cosa peraltro affermata pure da parte ricorrente, non elide, certo, e semmai aggrava la detta violazione delle direttive datoriali (di per sé sufficiente a ritenerlo responsabile civilmente).
Al riguardo, dunque, tutti gli argomenti sopra evidenziati sono stati correttamente ritenuti infondati dalla Corte d’appello sulla base dell’unica logica spiegazione desumibile dalla protezione di una banca dati con delle credenziali, da parte del datore di lavoro: ovvero l’intenzione di non farvi accedere chicchessia, ove pure gerarchicamente sovraordinato a chi sia autorizzato a farlo.
Deve, in definitiva, affermarsi che viola le direttive (quand’anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso (su tale ultima parte, vedasi Sez. 2, n. 36721 del 21/02/2008, Rv. 242084-01).
Corte di Cassazione, Sezione Quinta Penale, Sentenza n. 40295 del 31 ottobre 2024
La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di
Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.
Desideri approfondire l'argomento ed avere una consulenza legale?
Prenota un appuntamento.
La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.
Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.
Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.
Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.