“Viola le direttive (quand’anche implicite, ma chiare) del datore di lavoro il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione: essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso”. Lo ha stabilito la Corte di cassazione, V sezione penale, n. 40295/2024.
La vicenda
Un impiegato di una struttura alberghiera di Chianciano Terme aveva richiesto ad un’altra impiegata, a lui gerarchicamente subordinata, le chiavi di accesso al sistema informatico aziendale per l’archiviazione e la gestione a fini promozionali del data base clienti comprensivo di circa 90.000 schede individuali, accedendovi per scopi e finalità estranee al mandato ricevuto. Nei primi due gradi di giudizio era stata accertata la consumazione del reato di «Accesso abusivo ad un sistema informatico o telematico», ex art. 615 ter, comma 1, Codice Penale.
L’impiegato ricorreva in Cassazione sostenendo che non si fosse trattato di un accesso abusivo sia perché ne aveva il potere «nella veste di direttore e superiore della dipendente» a cui aveva chiesto le credenziali, «anche al fine di controllarne il lavoro», sia perché fino a poco tempo prima egli aveva accesso in prima persona a quei dati.
La posizione della Corte di Cassazione
La Corte di Cassazione ha stabilito che il reato di accesso abusivo a sistemi informatici (di cui all’art. 615-ter, comma 1, del Codice penale) si configura anche nel caso di utilizzo delle credenziali di accesso da parte del superiore gerarchico del dipendente che ha fornito le credenziali.
I giudici della Corte Suprema, infatti, non hanno ritenuto convincente l’argomentazione del ricorrente che faceva leva sul suo potere di accedere a qualsiasi luogo aziendale per effettuare controlli su chi gli sia gerarchicamente subordinato. Nel caso di un sistema informatico protetto da credenziali, la Corte evidenzia che «ogni soggetto abilitato ha la sua ‘chiave’ personale (ovvero le credenziali d’accesso)». «Ciò perché si tratta di dati che, semplicemente, il titolare reputa debbano essere protetti, sia limitando l’accesso a chi venga dotato delle dette credenziali, sia, nel contempo, facendo sì che sia lasciata, in tal modo, traccia digitale dei singoli accessi e di chi li esegua».
È perciò errato ritenere che l’imputato “sol per le sue mansioni, avesse automaticamente il potere di accedere a dati che, per contro, secondo la discrezionale valutazione del datore di lavoro, dovevano restare nella disponibilità di solo alcuni dipendenti (per quanto subordinati al ricorrente)”.
Per giunta, in tal modo il ricorrente ha fatto “risultare falsamente che l’accesso fosse stato operato dalla dipendente che, incautamente, gli aveva rivelato le sue credenziali”.
Altri insights correlati:
