lunedì, Giugno 24, 2024
Criminal & Compliance

Accesso abusivo al sistema informatico in azienda: quando l’hacker è l’ex dipendente

Il presente articolo propone un breve commento alla sentenza della Corte di Cassazione n. 48895 del 25 ottobre 2018[1], con la quale i Giudici della V Sezione Penale sono tornati ad occuparsi di un tema particolarmente rilevante e dibattuto: il reato di accesso abusivo ai sistemi informatici, disciplinato all’art. 615 ter c.p.[2], da parte dell’ex dipendente di un’azienda.

La sentenza affronta una problematica rilevante ed estremamente attuale, ossia la sicurezza informatica sul lavoro nonché la tutela dei dati e delle informazioni rilevanti nell’ambito del business aziendale.

Generalmente quando si menziona l’accesso abusivo ai sistemi informatici, software o codici protetti si fa riferimento all’accesso che avviene per opera di “hacker” o soggetti esterni all’azienda o al titolare dei dati. Nel caso di specie, invece, l’accesso ai dati aziendali è avvenuto dall’interno poiché effettuato da un dirigente che legittimamente deteneva le credenziali di accesso ai sistemi informatici.

Quanto al caso in esame, i Giudici hanno chiarito quando e come possa configurarsi il reato di cui all’art. 615 ter c.p. in capo al dipendente che abbia avuto accesso ai dati aziendali sensibili il cui titolare era il datore di lavoro.

Oggi, in base all’orientamento prevalente, può dirsi che sia da considerarsi illecito qualsiasi comportamento del dipendente che si ponga in contrasto con i doveri di fedeltà e lealtà che indubbiamente connotano il rapporto di lavoro privatistico[3].

Dunque ne deriva che il dipendente – o l’ex dipendente – di un’azienda risponde del reato di cui all’art. 615 ter c.p. qualora violi le prescrizioni impartitegli in relazione all’accesso e sfruttamento dei dati aziendali ed acceda – o si mantenga – illegittimamente in un database o in un software dell’azienda per gestire, nel caso del dipendente, attività collaterali illegittime; mentre, nel caso dell’ex dipendente, per trarre vantaggi o “rivendere” i dati ad aziende concorrenti.

La vicenda

Facendo un excursus della vicenda processuale, si rileva che in data 12 dicembre 2017 il Tribunale di Reggio Emilia aveva condannato il dipendente dell’azienda che all’atto delle sue dimissioni aveva copiato su alcuni supporti informatici alcuni dei dati aziendali appartenenti all’ex datore di lavoro e ciò al fine di avvantaggiare un’azienda concorrente. Nel far ciò, l’imputato aveva anche cancellato i dati dal database aziendale.

L’imputato è stato condannato per il reato di cui all’art. 615-ter c.p.[4].

A seguito dell’avvenuta impugnazione della pronuncia di primo grado, la Corte d’Appello di Bologna ha confermato integralmente la sentenza.

La decisione di secondo grado è stata dunque impugnata con ricorso in Cassazione, nel quale il ricorrente ha dedotto:

  • la violazione e la falsa applicazione del reato in questione, poiché fondato sull’erroneo presupposto di ritenere che l’accesso al sistema informatico sia avvenuto trasgredendo le disposizioni impartite dal titolare dei dati;
  • la violazione e falsa applicazione del reato in questione per assenza di responsabilità in capo all’imputato, dal momento che il suo inquadramento dirigenziale gli ha permesso di estendere la propria legittimazione di accesso non solo ai dati dell’area tecnica.

La Corte di Cassazione ha rigettato il ricorso e confermato la pronuncia di appello, non rilevando tanto il ruolo ricoperto dal dipendente né le prescrizioni o autorizzazioni eventualmente impartite dal datore di lavoro, quanto piuttosto l’estraneità della condotta concretamente attuata dal dipendente rispetto all’attività allo stesso demandata.

Più precisamente, la Corte ha effettuato un iter logico basato su quanto già statuito dalla giurisprudenza di legittimità, ovverosia che integra il delitto previsto dall’art. 615-ter, secondo comma, n. 1, c.p. la condotta del pubblico ufficiale o dell’incaricato di un pubblico servizio che: “pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita”.

In altre parole, posto che tutti i dipendenti sono tenuti al rispetto del dovere loro imposto di eseguire sui sistemi aziendali attività che siano in diretta connessione con l’assolvimento della propria funzione, da ciò deriva – prosegue la Corte – l’illiceità e l’abusività di qualsiasi comportamento che con tale obiettivo si ponga in contrasto, manifestandosi la: “ontologica incompatibilità dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere”.

Infatti, come statuito dai Giudici, l’accesso abusivo ad un sistema informatico consiste nella: “obiettiva violazione delle condizioni e dei limiti risultanti dalle prescrizioni impartite dal titolare del sistema per delimitarne l’accesso, compiuta nella consapevolezza di porre in essere una volontaria intromissione nel sistema in violazione delle regole imposte dal dominus loci, a nulla rilevando gli scopi e le finalità che abbiano soggettivamente motivato tale accesso” (così Cass. Sez. V, n. 33311 del 13/06/2016; Sez. V, n. 44403 del 26/06/2015).

Al riguardo è stato richiamato l’esempio di un collaboratore cui sia affidata esclusivamente la gestione di un numero circoscritto di clienti, che acceda all’archivio informatico dello studio provvedendo a copiare e a duplicare, trasferendoli su altri supporti informatici, i file riguardanti l’intera clientela dello studio e, pertanto, esulanti dalla competenza che gli era stata attribuita (così Cass. Sez. V, n. 11994 del 05/12/2016[5]).

Pertanto, ai fini della configurabilità del reato in esame occorre primariamente far riferimento ai limiti previsti per l’autorizzazione di accesso ai dati da parte del soggetto agente e, in secondo luogo, analizzare la condotta verificatasi in concreto.

Ciò considerato, in ogni caso, i Giudici della Corte di Cassazione hanno ritenuto che non sia stato sufficientemente provato che l’imputato, con la qualifica di dirigente[6], avesse l’accesso indiscriminato a tutti i dati dell’azienda e, dunque, nonostante la sua qualifica, è apparso plausibile ritenere esistente una ripartizione dell’accesso ai dati aziendali con conseguente integrazione del reato laddove i limiti di tale ripartizione fossero stati superati.

Conclusioni

L’orientamento consolidato dalla giurisprudenza di legittimità prevede, dunque, che: “l’accesso abusivo ad un sistema informatico si configura anche se il delitto previsto dall’art. 615 ter, comma 2, n. 1 c.p., sia integrato dalla condotta del pubblico ufficiale o dell’incaricato di pubblico servizio che, pur formalmente autorizzato all’accesso ad un sistema informatico o telematico, ponga in essere una condotta che concreti uno sviamento di potere, in quanto mirante al raggiungimento di un fine non istituzionale, e se, quindi, detta condotta, pur in assenza di violazione di specifiche disposizioni regolamentari ed organizzative, possa integrare l’abuso dei poteri o la violazione dei doveri previsti dall’art. 615 ter, comma secondo, n. 1, c.p.”.

In conclusione, risulta senza dubbio rilevante tale orientamento che mira a tutelare in astratto il “know-how” aziendale da un punto di vista differente dal solito, ossia quello relativo ai possibili attacchi da soggetti estranei all’azienda, ma che, piuttosto, avvengono da parte di dipendenti o ex dipendenti che illegittimamente mirino ad accedere ai dati al fine di rivenderli ad aziende concorrenti e trarne, da ciò, un beneficio.

Può senz’altro dedursi che ai fini del mantenimento della sicurezza delle informazioni e dei dati sensibili in azienda, sia ad oggi importante effettuare delle operazioni che mirino a ridurre il più possibile il rischio del verificarsi di condotte illecite. Ciò può essere effettuato attraverso, ad esempio:

  • operazioni di suddivisione del lavoro aziendale che consentano l’accesso ai soli dati necessari per lo svolgimento della specifica attività demandata al dipendente;
  • l’utilizzo di sistemi operativi e tecniche specifiche che abbiano lo scopo di impedire le eventuali copie di dati o file riservati;
  • l’adozione di specifiche policy sull’accesso ai dati;
  • l’adozione di processi di politica aziendale sull’accesso e sull’utilizzo dei dati aziendali da rendere obbligatoriamente noti al personale, etc.

In tal modo si potrà evitare sin dall’inizio di essere esposti a plagi o ad attività di “hackeraggio” e, in caso di controversie, si potranno evitare eventuali contestazioni da parte del dipendente o ex dipendente accusato del reato di cui all’art. 615 ter c.p., il quale non potrà eccepire di essere stato autorizzato ab origine dall’azienda ad accedere ai dati riservati.

[1] Sentenza Corte di Cassazione n. 48895/2018 visionabile qui: https://www.eius.it/giurisprudenza/2018/803

[2] L’art. 615 ter c.p. è stata introdotto dalla legge n. 547 del 1993 e prevede espressamente che: “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

[3] Riferimento da: https://www.expartecreditoris.it/provvedimenti/illecita-la-condotta-del-dipendente-che-acceda-al-sistema-informatico-per-ragioni-ontologicamente-estranee

[4] Riferimento da: http://www.dirittodellinformatica.it/ict/crimini-informatici/dipendenti-e-accesso-abusivo-a-sistema-informatico-la-cassazione-fa-il-punto.html

[5] Sent. Cass. n. 11994/2016 visionabile qui: https://sentenze.laleggepertutti.it/sentenza/cassazione-penale-n-11994-del-05-12-2016

[6] Quanto alla qualifica di dirigente, I Giudici della Corte di Cassazione hanno statuito che: “la qualifica di dirigente spetta al prestatore di lavoro che, come alter ego dell’imprenditore, sia preposto alla direzione dell’intera organizzazione aziendale ovvero ad una branca o settore autonomo di essa, e sia investito di attribuzioni che, per la loro ampiezza e per i poteri di iniziativa e di discrezionalità che comportano, gli consentono, sia pure nell’osservanza delle direttive programmatiche del datore di lavoro, di imprimere un indirizzo ed un orientamento al governo complessivo dell’azienda, assumendo la corrispondente responsabilità ad alto livello (c.d. dirigente apicale). La preposizione ad una branca o un settore autonomo dell’impresa non implica però necessariamente l’accesso indiscriminato a tutte le informazioni in possesso dell’imprenditore, perché una compartimentazione dell’accesso informativo è pienamente compatibile, sul piano logico e giuridico, con il carattere settoriale della preposizione”.

Sofia Giancone

Avvocato e Dottoranda di Ricerca in diritto privato presso l'Università Tor Vergata - Roma Sofia Giancone fa parte di Ius In Itinere da maggio 2020. Ha conseguito la laurea magistrale in Giurisprudenza nel 2019 con Lode presso l'Università di Roma Tor Vergata, discutendo la tesi in Diritto Commerciale dal titolo: "Il software: profili strutturali, tutela giuridica e prospettive". Ha svolto la pratica forense in ambito civile e il tirocinio formativo in magistratura ex art. 73 d.l. 69/2013 presso la Corte d'appello civile di Roma. Successivamente ha approfondito i temi legati all'IP & IT e si è specializzata in Tech Law & Digital Transformation con TopLegal Academy. Si è occupata di consulenza e assistenza legale nell'ambito del Venture Building, innovazione e startup, contrattualistica di impresa. Ad ottobre 2022 ha conseguito l'abilitazione all'esercizio della professione forense e ad oggi esercita la professione di Avvocato. Dal 2022 svolge inoltre il Dottorato di ricerca in diritto privato presso l'Università di Roma Tor Vergata. Profilo LinkedIn: linkedin.com/in/sofia-giancone-38b8b7196

Lascia un commento