Lo sentenzia la Corte di Cassazione
La Corte Suprema di Cassazione, Quinta Sezione Penale, ha stabilito che è reato di accesso abusivo ai sistemi informatici quando un superiore accede a un sistema aziendale protetto con credenziali fornite da un collaboratore subordinato. Con la sua sentenza la Suprema Corte rafforza il principio che sancisce che le credenziali sono assolutamente personali e riservate, a tutti i livelli e in ogni contesto.
Quindi un soggetto in posizione dominante non può richiedere a un subordinato le sue credenziali di accesso e quest’ultimo non dove condividerle con “leggerezza”.
Il principio di partenza della Corte suprema è l’evidenza che, nel caso di un sistema informatico protetto da credenziali, il titolare dei dati ha voluto profilare gli utenti in modo che solo chi ne avesse l’effettiva necessità potesse accedere ai dati e rimanesse traccia delle operazioni effettuate attraverso gli appositi log di sistema. Altrimenti avrebbe creato utenze condivise o non avrebbe protetto il sistema con delle credenziali di accesso.
La sentenza ribadisce che “Viola le direttive, implicite ma chiare, del datore di lavoro, il dipendente che, pur in posizione gerarchicamente sovraordinata rispetto al titolare delle credenziali di accesso ad un sistema informatico aziendale, se le faccia rivelare per farvi ingresso senza averne specifica autorizzazione, essendo sufficiente a rendere manifeste tali direttive la stessa protezione dei dati mediante credenziali di accesso”.
Indipendentemente dal ruolo, le credenziali sono personali e riservate. Solo il legittimo proprietario può usarle, anche se è un nuovo dipendente. In caso contrario chi utilizza le credenziali altrui per accedere a un sistema informatico commette il reato di “accesso abusivo ai sistemi informatici” (art. 615 ter c.p.).
Per la Suprema Corte infatti “la protezione del sistema tramite credenziali di accesso dimostra già la volontà dell’azienda di riservare l’accesso solo a determinate persone”. Questo nell’ ottica di voler/dover tutelare “l’interesse sostanziale del Titolare dei dati a vedere preservata sia l’integrità che la riservatezza del patrimonio informativo, mediante la predisposizione di un sistema informatico posto a presidio”.
Possiamo introdurre il concetto di “accesso disfunzionale” ossia un accesso non autorizzato o improprio e utilizzato in modo non conforme alle regole stabilite. Possono esserci diverse tipologie di accesso disfunzionale:
- Accesso non autorizzato, quando un individuo senza permesso riesce a entrare in un sistema informatico utilizzando password sottratte, attacchi di phishing o sfruttando vulnerabilità del sistema;
- accesso abusivo, quando un soggetto autorizzato al sistema esegue azioni illecite come la copia non autorizzata di dati, la modifica dei file di sistema o l’interruzione dei servizi;
- accesso improprio, ossia, sebbene autorizzato, tale accesso viene effettuato mediante modalità non consentite o per finalità diverse da quelle previste.
Per contrastare questa fattispecie di reati è necessario che il titolare adotti tutte le misure di sicurezza ritenute opportune in base alla propria valutazione dei rischi ed al principio dell’accountability che caratterizza tutto l’impianto del GDPR.
Lascia un commento