E’ reato usare l’accesso da amministratore di sistema aziendale per attività non autorizzate

Il “sistemista” di un’azienda - e, ovviamente, di una pubblica amministrazione - non può fare quello che vuole sui dati dei dipendenti ma deve limitarsi ai compiti assegnati dal datore di lavoro. Nel caso particolare dei controlli, poi, nemmeno potrebbe procedere anche in presenza di un ordine, se i dipendenti non sono stati informati del come e del perché questo potrebbe accadere.

Anche se l’ente può eseguire controlli all’insaputa degli utenti, deve avere una buona ragione per farli ma deve evitare attività inutilmente invasive e generalizzate.

Prendere conoscenza del contenuto di email altrui la cui consultazione richiede l’uso di credenziali di autenticazione nell’ambito di controlli non autorizzati costituisce il reato di violazione di corrispondenza.

Questi i principi di diritto enunciati dalla quinta sezione penale della Corte di cassazione con la sentenza 23158/25 depositata lo scorso 20 giugno 2025.

A stretto rigore, la decisione ribadisce orientamenti precedenti contenuti in altre sentenze, ed interpreta correttamente norme esistenti da tempo: quella sul cracking dei sistemi - che esiste dal 1993 - e quella sulla tutela della corrispondenza.

La prima, infatti, punisce non solo chi prende abusivamente il controllo di una workstation o di un server ma anche chi, dotato dei privilegi di amministrazione, li usa andando oltre i compiti che gli sono stati affidati o per altri motivi. Dunque, non importa se l’azione è conseguenza di una scelta individuale motivata da interessi personali, di un ordine di servizio illecito, o peggio, di una richiesta “ufficiosa” di un superiore gerarchico o del titolare dell’ente.

La seconda, presente da sempre nel codice penale, sanziona chi “prende cognizione del contenuto di una corrispondenza chiusa a lui non diretta”.

La consultazione non autorizzata delle email altrui è l’incubo che turba i sonni degli utenti fin dall’epoca pre-internet, quando nelle reti Fidonet nacque e si sviluppò il dibattito sull’importanza della privacy nella comunicazione elettronica interattiva e sul ruolo della crittografia.

Con questa sentenza la Cassazione cerca di contribuire alla convergenza di tre aspetti fondamentali dell’operatività di un’azienda: il dovere di prevenire atti illeciti dei dipendenti, quello di proteggere i beni aziendali da comportamenti illeciti dei dipendenti e quello dei dipendenti di non essere trasformati nei classici “pesci rossi nella boccia di vetro”.

“La giurisprudenza di questa Corte” si legge nella decisione “ha affermato che in tema di cd. sistemi difensivi, sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospettocirca la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore,sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.

L’uso delle risorse di comunicazione aziendali anche per questioni private è un (mal)costume molto diffuso, e incoraggiato dalla tendenza a “chiudere un occhio” sulla violazione di policy che, magari, vietano con chiarezza un comportamento del genere. Allo stesso modo, le regole interne di comportamento relative ai controlli sui sistemi informativi sono, dalla prospettiva del datore di lavoro, spesso generiche e, da quella dei dipendenti, sottovalutate se non addirittura ignorate.

Negli ultimi anni, le strategie di protezione si sono orientate verso la prevenzione degli incidenti o degli attacchi sul presupposto che anche la semplice interruzione temporanea della continuità operativa per il tempo necessario a ripristinare la funzionalità di dati e servizi è un costo che istituzioni e aziende non possono permettersi. Senza parlare, poi, del fatto che nelle infezioni da ransomware o da infostealer - sistemi che “rubano” credenziali - quanto prima si riesce a rilevare l’attività del virus, tanto più si può bloccare quantomeno l’esfiltrazione dei dati. Da qui la necessità di rilevare con estremo anticipo gli indicatori di un attacco.

È a questo punto che l’orientamento consolidato espresso dalla sentenza e una certa lettura del regolamento sulla protezione dei dati personali (GDPR) mostrano i propri limiti: prevenire significa, innanzi tutto, controllare in tempo reale e, in tempo reale, analizzare i risultati per individuare quanto prima il POC (Point of Compromise), l’“utente zero” il cui computer è stato compromesso.

Da tempo il mercato della sicurezza offre servizi che costruiscono una sorta di “rumore di fondo” generato dalla rete (per esempio, tempi e modi dell’utilizzo da parte dei singoli client, tipo di traffico, risorse esterne accedute) per poi rilevare eventi che di quel rumore di fondo non fanno parte. È vero che, ancora una volta sulla carta, fino a quando questi sistemi non eseguono controlli mirati sono legittimamente utilizzabili, ma è anche vero che il loro modo di funzionare richiede, a un certo punto, di individuare il o i singoli punti di compromissione. Quindi, a tutto voler concedere, il loro utilizzo sarebbe quantomeno problematico anche volendo interpretare con la massima estensione possibile la giurisprudenza e il GDPR.

L’entrata in vigore della normativa sulle infrastrutture critiche aggiunge un ulteriore livello di complessità a questo scenario perché la prevenzione diventa un obiettivo da perseguire anche nell’interesse pubblico e non più solo di quello dei datori di lavoro e dei dipendenti.

Il pericolo concreto, dunque, è che una gestione estesa della sicurezza basata sulla prevenzione possa essere considerata in violazione dei diritti dei dipendenti, mentre un approccio meno pervasivo possa rappresentare una violazione —per i soggetti coinvolti—degli obblighi derivanti dall’essere qualificati come “infrastruttura critica”, fornitore di servizi essenziali o una qualsiasi delle altre categorie previste dalla normativa.

Una possibile via d’uscita a questo apparente paradosso operativo sarebbe quella di distinguere le conseguenze del ricorso a sistemi di sicurezza preventiva.

Si potrebbe stabilire che il loro impiego e utilizzo siano possibili senza bisogno di autorizzazioni e consensi (magari con una semplice comunicazione alle autorità competenti), ma che, nello stesso tempo, i risultati generati da questi sistemi non possano essere usati per adottare provvedimenti disciplinario comportamenti discriminatori nei confronti dei dipendenti.

In questo modo, fermi restando i principi espressi dalla giurisprudenza della Corte di cassazione, entrambe le parti - datore di lavoro da un lato e dipendenti dall’altro - potrebbero essere adeguatamente tutelati da comportamenti impropri, abusi e atti illeciti senza compromettere la sicurezza delle infrastrutture.

A stretto rigore non sarebbe necessario emanare una norma che preveda esplicitamente questa ipotesi perché con uno sforzo interpretativo delle norme vigenti si potrebbe ugualmente raggiungere l’obiettivo. Una soluzione del genere, tuttavia, potrebbe essere non accolta innanzi tutto dalle autorità indipendenti e dalle pubbliche amministrazioni coinvolte e dunque rischierebbe di dover passare attraverso un calvario giudiziario che potrebbe arrivare fino alla Corte europea di giustizia. Dunque, almeno per una volta, una “nuova legge” sarebbe la soluzione più opportuna.

e-mail: avv.mimmolardiello@gmail.com  
sito: www.studiolegalelardiello.it