La Corte di Cassazione, con ordinanza del 13 gennaio 2025, n. 807, è tornata nuovamente sul tema della legittimità dei controlli datoriali effettuati tramite accesso alla casella di posta elettronica aziendale dei lavoratori. Con quest’ultima pronuncia, la Suprema Corte ha ribadito che il datore di lavoro può sì eseguire indagini accedendo alla mail aziendale del dipendente ma ciò è legittimo solo a partire dal momento in cui sorge il fondato sospetto della commissione di un illecito. Ne deriva che eventuali informazioni raccolte in una fase precedente non sono utilizzabili per nessuna finalità comprese, quindi, eventuali azioni disciplinari nei confronti del lavoratore infedele.

Nel caso di specie, la società intimava il licenziamento ad un proprio dirigente sulla base di informazioni raccolte durante un controllo effettuato sui file log di e-mail inviate dal lavoratore anteriormente all’”alert” inviato dal sistema informatico dell’azienda che aveva generato il “sospetto datoriale” e quindi sollevato l’esigenza di avviare dei controlli.

Già secondo la Corte d’Appello le informazioni così raccolte dalla società erano di fatto inutilizzabili per fini disciplinari e gli elementi di prova a motivazione del licenziamento avrebbero dovuto essere ricercati esclusivamente nelle giustificazioni rese dal dirigente.

La sentenza in esame solleva un’importante riflessione sul tema dei controlli datoriali in un contesto in cui le nuove tecnologie hanno notevolmente ampliato le possibilità di monitoraggio. È essenziale definire con chiarezza quali siano i confini da considerare affinché le azioni intraprese e i dati eventualmente raccolti possano essere considerati legittimi e conformi al quadro normativo oggi vigente. Il rischio è che informazioni che possano confermare la commissione di illeciti siano di fatto inutilizzabili.

Occorre anche considerare quanto sia fondamentale individuare il punto di equilibrio tra le esigenze di protezione degli interessi e dei beni aziendali e di libertà di iniziativa economica in capo al datore di lavoro e la tutela della dignità e della riservatezza del lavoratore. Se a fronte di un fondato sospetto il datore di lavoro potesse estendere il proprio controllo indistintamente a tutti i dati che fino a quel momento sono stati raccolti e conservati nel sistema informatico aziendale, l’equilibrio tra gli interessi in gioco verrebbe naturalmente meno. A ricordarlo è la stessa Corte di Cassazione (ordinanza 807/2025).

Ma quindi il datore di lavoro può porre in essere controlli tecnologici finalizzati a tutelare beni estranei al rapporto di lavoro o a evitare comportamenti illeciti da parte dei suoi dipendenti?

La risposta è sicuramente affermativa ma ciò è possibile a determinate condizioni.

• Deve generarsi un fondato sospetto della commissione di azioni e condotte illecite.

• Il controllo deve essere mirato, limitato nel tempo e finalizzato solo a ricercare elementi che confermino il sospetto generatosi.

• Oggetto di controllo possono essere esclusivamente le informazioni acquisite successivamente – ex post – all’insorgere del sospetto.

Ciò consente di individuare e assicurare il mantenimento del punto di equilibrio tra le diverse esigenze delle parti coinvolte citato anche con quest’ultima pronuncia dalla stessa Corte di Cassazione.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.

Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del  Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo  di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:

“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che  nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma  ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei  cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati  e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è  essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non  solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che  questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di  risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il  sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì,  sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della  cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli  attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di  protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono  informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72  ore da quando ne sono venute a conoscenza”.