Sicurezza informatica aziendale e responsabilità dei tecnici addetti

La Cassazione sanziona l’accesso abusivo di un tecnico informatico, ex dipendente, sul mail server aziendale.

L’articolo 615 ter c.p. sanzionante l’accesso abusivo a un sistema informatico o telematico, è stato introdotto nel nostro ordinamento quasi venti anni fa (L. 547/1993) e, seppur ampiamente argomentato in ambito teorico, ha concretamente riscosso scarsa applicazione pratica in contesti aziendali principalmente per due motivi: il primo va ricondotto alla procedibilità a querela che quasi sempre ha indotto la parte lesa (ovvero l’impresa titolare del sistema informatico violato) a decidere di non procedere per non rendere pubblico l’accaduto considerato l’ingente danno d’immagine derivante. Il secondo correlato motivo è ascrivibile alla difficoltà di individuazione degli autori del reato. Ciò, statisticamente, sia per ragioni di abilità di costoro (hackers/crackers) sia per la difficoltà e laboriosità delle indagini tecniche informatiche e degli accertamenti, spesso transnazionali, che sostanzialmente esitavano la mancata individuazione degli autori. Il tutto accompagnato anche da una scarsa diffusività del reato in ragione del livello di capacità necessario per l’attuazione.

Negli ultimi anni la diffusività quantitativa, capillare anche in piccole imprese, dei sistemi e delle applicazioni di rete aziendale di tipo intranet/internet è cresciuta a dismisura, integrandosi significativamente con i dispositivi informatici portatili e con l’internet mobile in altrettanto vertiginoso trend di crescita. Tale situazione ha reso quindi le reti e i sistemi informatici delle aziende un cruciale ambito di valore, spesso sottostimato, assolutamente fondamentale per garantire l’operatività delle aziende a prescindere dallo loro collocazione e settore di mercato. A garanzia del contesto la normativa è intervenuta su più piani prescrivendo, per esempio, ai responsabili d’impresa comportamenti preventivamente orientati alla tutela dei dati aziendali (es. art 34 del Codice della privacy, vigente anche dopo l’abolizione del D.P.S. obbligatorio e direttiva Amministratori di sistema) con gravami di responsabilità amministrativa in capo anche alle persone giuridiche nel caso in cui si verifichino reati informatici a mezzo di sistemi informatici aziendali (Dlgs 231/2001).

In tale quadro le misure qualitative e organizzative di tutela tecnica predisposte da parte delle imprese, specie in quelle piccole e medie prive di personale ICT interno, risultano usualmente valutate con leggerezza e marginalità, se non del tutto ignorate, e abitualmente sacrificate a favore della snellezza nell’operatività produttiva del personale addetto, ovvero tese in generale al non appesantimento delle procedure interne organizzative e lavorative. La contrazione degli investimenti determinata dalla situazione economica ha dunque semplicemente maggiorato una trascuratezza che strutturalmente già sussisteva, e che ha illuso molte imprese di poter far crescere la propria infrastruttura ICT al fine di incrementare volumi di produzione e redditività, senza soffermarsi sui basilari oneri e costi di gestione. Essi attengono principalmente le apparecchiature hardware/software in costante crescita di funzioni erogate, ma anche di complessità manutentive, in specie di rete, e di riflesso l’organizzazione del personale abilitato all’impiego (operatori) e al controllo/sviluppo (referenti/amministratori).

Tuttavia la crisi economica e le tensioni occupazionali che gravano sulle imprese e conseguentemente sui lavoratori hanno innescato situazioni che, evidenziando le lacune anzidette, hanno coinvolto in primo piano i sistemi informatici delle imprese. Infatti, con sempre maggiore frequenza rispetto al passato la cronaca riporta il coinvolgimento di computer, server e reti aziendali in casi quali per esempio dipendenti inadempienti dediti a utilizzi privati vietati, furto di dati aziendali dovuto a dipendenti migranti o coinvolti in attività di illecita concorrenza tra imprese, azioni rancorose di intrusione, o peggio finanche di sabotaggio, da parte di ex-dipendenti.

In questo ambito la Cassazione, con la sentenza n. 42021 del 26 ottobre 2012 emessa dalla quinta sezione penale, è recentemente intervenuta sancendo che la tutela della legge si estende anche agli aspetti economico-patrimoniali dei dati e quindi ricomprende il relativo luogo dove essi si trovano, dilatando così il noto concetto di difesa del “domicilio informatico” anche all’ambito aziendale; lo “jus excludendi alios” si concreta quindi sia che titolare sia persona fisica, oppure persona giuridica, privata o pubblica, o altro ente. Nel caso di specie la Suprema corte ha respinto il ricorso di un ex responsabile dell’ufficio del personale in un’azienda ritenuto responsabile di aver violato l’art 615 ter c.p in quanto, avendo svolto le mansioni di tecnico informatico della stessa azienda ed essendo a conoscenza degli indirizzi e-mail dei vari impiegati, tramite una postazione informatica presso la propria abitazione, si era introdotto abusivamente nel server di posta elettronica della stessa società e aveva piú volte tentato di accedere (in alcuni casi riuscendo nell’intento) nelle  caselle e-mail dei vari dipendenti della società, inviando quindi email a terzi sfruttando gli account mail violati. Confermata, quindi, la condanna a 10 mesi di reclusione dell’imputato inflitta dalla Corte d’appello di Roma. Il caso è emerso a seguito di querela, risultata pienamente legittima secondo la Cassazione, presentata dal legale rappresentante della società titolare del server violato.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...