Diritto e Fisco | Articoli

Se qualcuno utilizza la mia password sono responsabile?


Se qualcuno utilizza la mia password sono responsabile?

> Diritto e Fisco Pubblicato il 29 maggio 2017



Impossibile licenziare il dipendente solo perché l’illecito è stato compiuto dal suo account utilizzando la sua password se il sistema informatico dell’azienda non è protetto da accessi abusivi.

È vero, se il datore di lavoro ti affida un account per accedere al database aziendale e una password per entrare nel sistema ed eseguire operazioni importanti, hai il dovere di evitare che terzi malintenzionati possano utilizzare la tua postazione e, in tal modo, commettere illeciti; ma non per questo devi rispondere dei reati altrui. A tutto voler concedere, se il codice di condotta aziendale lo prevede, potrai essere passibile di una responsabilità disciplinare per aver lasciato il computer acceso e la password alla mercé di tutti, ma non per questo potrai subire le conseguenze penali o il licenziamento per le condotte compiute da terzi benché attraverso la tua postazione. Non almeno se l’azienda non prende le dovute precauzioni per “blindare” l’accesso al database da parte di terzi non autorizzati. È quanto l’interessantissimo principio espresso dalla Cassazione in una recente sentenza [1].

Per comprendere meglio le ragioni della Corte e, quindi, perché se qualcuno utilizza la tua password non sei sempre responsabile, facciamo qualche esempio pratico. Immaginiamo un dipendente di un’assicurazione, con una propria postazione dotata di computer con accesso a internet e al database della compagnia; tramite questa, l’agente può liquidare i sinistri agli infortunati. Senonché un giorno, nella pausa pranzo, l’uomo si allontana per fare uno spuntino e qualcuno, accedendo al suo pc, inizia a risarcire dei falsi incidenti.

Immaginiamo anche un dipendente di banca, anch’egli con un proprio account aziendale, protetto da password, con il quale può penetrare negli archivi dell’istituto di credito, accedendo ai conti dei clienti. Un giorno, però, mentre questi è assente per la pausa caffè, dal suo computer partono una serie di ordini di bonifico che, sottraendo denaro dai conti dei clienti, accreditano consistenti somme su un conto terzo.

Entrambi gli esempi che abbiamo fatto hanno, però, qualcosa in comune: il datore di lavoro non ha disposto un sistema di sicurezza per impedire agli estranei di utilizzare la postazione del computer del collega di lavoro. Benché l’accesso all’account sia protetto da password, manca la modifica periodica obbligatoria delle credenziali di accesso e lo screensaver con parola d’ordine per il ripristino. Inoltre i computer, se lasciati accesi, non si spengono automaticamente dopo un po’ di tempo.

Ebbene, il dubbio che ci si è posto è il seguente: in questi casi, il lavoratore cui sia stata sottratta la password per l’accesso ai dati aziendali è responsabile per gli illeciti posti da altri? La risposta, secondo la Cassazione, è negativa: tutte le volte in cui un consulente d’ufficio nominato dal giudice (cosiddetto Ctu) conferma che l’azienda non tutela a dovere i suoi dati informatici, il dipendente non è responsabile se qualcuno utilizza la sua password e commette reati, violazioni della privacy o altri illeciti.

Secondo il principio espresso dalla Corte, per far scattare il licenziamento – e, a maggior ragione, la responsabilità penale – non basta che gli illeciti compiuti nel sistema informatico dell’azienda siano realizzati da un utente che accede al sistema con la password del lavoratore incolpato. Ciò vale anche se le credenziali sono private e segrete. Il solo fatto che il misfatto sia stato realizzato con la password attribuita a un dipendente non consente di attribuire con certezza a quest’ultimo la colpa per tali atti. Mancano infatti quegli indizi gravi e precisi (cosiddette «presunzioni») per poter risalire all’effettivo colpevole.

Dunque, nulla vieta di ritenere che, negli esempi fatti in apertura, a compiere gli storni di denaro dai conti dei clienti o a liquidare i sinistri “incriminati” possa essere stato un collega che abbia utilizzato la password dell’incolpato, specie se si considera che la maggior parte delle operazioni contestate risulta svolta durante la pausa pranzo.

Del resto è solo dell’azienda la colpa per aver creato un sistema informatico «permeabile» e non si può scaricare le conseguenze sul dipendente che non ha saputo tenere segrete le proprie credenziali di accesso quando mancano adeguate misure di protezione del sistema.

note

[1] Cass. sent. n. 13373/17 del 26.05.2017.

Autore immagine: Pixabay. com

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI