Se riveli la password ad un collega, sei licenziato. Lo conferma la Cassazione Italiana

I fatti oggetto della sentenza

L’adozione di sistemi di autenticazione per accesso areti o dati è andata recentemente consolidandosi nelnostro Paese grazie alla “famigerata” leggeprivacy, dove all’Allegato B si prescrivel’obbligo di adozione da parte del titolare, dicredenziali di autenticazione che ogni incaricatodovrà preservare e mantenere segrete. Eppure sonosempre più numerose le sentenze emesse in materia didivulgazione, diffusione o cessione di credenziali diautenticazione, in particolare nell’ambientelavorativo. L’ultima pronuncia emessa dalla Corte diCassazione (Sezione del Lavoro) sembra di rilievo, in quantodimostra come la sola comunicazione di password senzaautorizzazione, possa giustificare un licenziamento conbiglietto di sola andata.

Nei fatti, Caio lavoratore dipendente della Ditta Beta,comunicava ad un ex collega (ex dipendente della Ditta Betastessa) le proprie credenziali di autenticazione per accederealla rete. In sostanza mediante l’utilizzo dellecredenziali di autenticazione di Caio, Tizio accedevaesclusivamente a statistiche ed illustrazioni pubblicitariedel prodotto commercializzato dalla Ditta Beta. Ebbene,queste condotte sono state oggetto di contestazione da partedella Ditta Beta la quale al termine dei vari gradi relativial processo dinnanzi al Giudice del lavoro, ha ottenutoragione circa la giustezza del licenziamento di Caio.

Accertato nei fatti che la password di accesso alla rete erastata comunicata da Caio a Tizio (e non chequest’ultimo avesse utilizzato canali diversi perprocurarsela) la Cassazione ha rinvenuto nella condotta deldipendente Caio una forma di inadempimento talmente grave dagiustificare in proporzione il licenziamento attuato.


 

Il diritto applicabile

È incredibile come ad oggi continuino ad emergerefatti molto simili a quelli che hanno visto coinvolti laDitta Beta, Caio e Tizio. Difatti, sempre piùfrequentemente le password di accesso a connessioni e datisono utilizzate maldestramente da chi ne dovrebbe mantenerecura e segretezza; la causa di questo modo di pensare esottovalutare i rischi che potrebbero derivare dallacomunicazione non autorizzata delle credenziali di accesso,spesso non è da attribuirsi al dipendente però,ma proprio al datore di lavoro. Difatti, se da una parteoggettivamente il lavoratore deve prendere atto che lecredenziali di autenticazione altro non sono che una risorsaaziendale messa a disposizione dalla struttura lavorativa eche la loro destinazione deve essere prettamente connessa almotivo per cui sono state introdotte, dall’altra ildatore di lavoro omette talvolta ingenuamente talvoltadandolo per scontato, di informare e formare i propridipendenti del motivo che sta alla base di una gestione deidati o delle reti protetta da password. Oggi la tantocriticata legge sulla privacy (il decreto legislativo n.196/2003) è un “perno” non trascurabilemediante il quale cercare di imporre un po’ dievoluzione nella mentalità degli italiani, chesottovalutano i rischi a cui sono esposti i loro dati (sia inqualità di titolari dei trattamenti sia inqualità di intestatari dei dati stessi) e le falle disicurezza esistenti nei sistemi informatici aziendali.

 

Il punto critico della sicurezza informatica in Italia

Potrà momentaneamente lasciare perplessi quello chesto per scrivere, ma posso tranquillamente affermare che inItalia le password non sono l’ultimo dei problemi inambito di sicurezza, ma il primo. Ebbene sì! Comeformatrice in ambito di privacy, ho a che fare con entipubblici ed aziende, e se il back-up, i sistemianti-intrusione e l’antivirus sono ormai familiari eimprescindibili nel privato e nel pubblico per conservaresicurezza ed integrità di dati, progetti edinformazioni, il “pianeta password” restaincontrollabile, troppo spesso “auto-gestito” daidipendenti che frequentemente ignorano la ratio che sta allabase dell’utilizzazione di una password sul posto dilavoro! Quando durante la formazione ripeto “miraccomando: non usate come password il vostro nome o cognome,o il nome del cane, del gatto o la data di nascita di vostrofiglio” gran parte dei presenti mi guarda consguardo colpevole, ed io capisco benissimo che bypassare laloro password sarebbe una sciocchezza! Ma questoperché succede in un comune, come in un ospedale comein una azienda privata? Semplicemente perché iltitolare della struttura non investe“nell’informatizzazione dellamentalità” delle persone. Informatizzarsi nonvuol dire solo cambiare il parco macchine, ma spiegareperché è meglio un sistema operativo di unaltro, perché alterare una misura di sicurezzaè rischioso, perché urlarsi da una stanzaall’altra la password di accesso alla rete nonpuò rappresentare una abitudine!!!!


 

Le sentenze sono un campanello di allarme

Le sentenze che si stanno originando nelle aule di tribunaleitaliane, sono sintomatiche dello status disuperficialità ed ignoranza (nel senso propriodell’ignorare) della centralità dellecredenziali di autenticazione quali elemento primario dellasicurezza aziendale. Caio che comunica a Tizio la propriapassword affinché quest’ultimo si introduca nelsistema aziendale per visionare dei dati, èsostanzialmente un soggetto che ha ignorato i rischi a cuiandava incontro: non sapendo che è possibileverificare da dove avvengono le connessioni alla retenonché chi è l’intestatario di quellapassword di accesso. Altrettanto Tizio ha ignorato cheutilizzando la password comunicata da Caio, poteva incorrerein un reato penale di accesso abusivo, dovel’abusività è data dalla consapevolezzadi entrare in un sistema da cui il titolare lo ha a suo tempoescluso. Manca una cultura del diritto informatico. Mancanole basi e da queste mancanze nascono sentenze che i giornalititolano talvolta increduli delle conseguenze, talvoltaentusiasti della notizia legata alla nuova tecnologia come sefosse un fatto isolato e straordinario. Ma il futuro èadesso ed adesso bisogna imparare a gestirel’informatizzazione, anche nelle situazioni che sidanno per scontato.