Cassazione 40295/2024: credenziali aziendali e accesso disfunzionale

/ Consapevolezza, DataProtection, InfoSecurity, Misure Sicurezza, Password, Protezione dei Dati Personali, Sentenze / Di

La recente sentenza n. 40295 del 31 ottobre 2024 della Corte di Cassazione ha affrontato un caso significativo riguardante l’uso improprio delle credenziali aziendali.

Un direttore di un Hotel aveva richiesto a una dipendente le sue proprie credenziali utente per accedere ad uno strumento informatico aziendale, contenente circa 90.000 schede clienti, con finalità estranee al mandato ricevuto. Il dirigente ha sempre sostenuto (anche nel primo e secondo grado di giudizio) di averne il diritto ed il potere per la sua qualità di superiore della dipendente. Inoltre ha sempre asserito che – fino a qualche tempo prima – aveva sempre potuto accedere in prima persona a quei dati.

La Corte (nel terzo ed ultimo grado di giudizio) ha stabilito che tale comportamento configura il reato di accesso abusivo a sistemi informatici, sottolineando che le credenziali sono strettamente personali e riservate, indipendentemente dalla posizione gerarchica.

Fondamenti della sentenza:

  1. Inviolabilità delle credenziali personali: Le credenziali di accesso ai sistemi informatici aziendali sono strettamente personali e non possono essere condivise, nemmeno con superiori gerarchici.
  2. Accesso disfunzionale: L’utilizzo delle credenziali altrui per scopi non autorizzati è definito “accesso disfunzionale” e costituisce reato.
  3. Responsabilità individuale: Ogni utente è responsabile delle proprie credenziali e delle azioni compiute tramite esse.

Implicazioni per le aziende:

  • Policy aziendali rigorose: È fondamentale implementare politiche chiare sulla gestione delle credenziali e sull’accesso ai sistemi informatici.
  • Formazione del personale: Educare i dipendenti sull’importanza della riservatezza delle credenziali e sulle conseguenze legali di un uso improprio.
  • Controlli sugli accessi: Occorre prevedere modalità di controllo tese a rilevare utilizzi simultanei delle stesse credenziali, in linea con le politiche di sicurezza aziendale e senza violare lo statuto dei lavoratori.

Questa sentenza ribadisce l’importanza della unicità e della protezione delle credenziali utente, cosi come della responsabilità individuale nell’uso dei sistemi informatici aziendali, evidenziando le potenziali conseguenze legali derivanti da comportamenti inappropriati.

Purtroppo spesso – ancora oggi – rileviamo come le medesime credenziali siano usate in condivisione tra più soggetti, per praticità!

Anche qui, una insicurezza dovuta al fattore umano (oltre che alla inefficacia o inadozione delle politiche di sicurezza aziendali e dei controlli).