Se il superiore usa la password del suo collaboratore commette reato di accesso abusivo a un sistema
Con la sentenza n. 40295 depositata il 31 ottobre 2024, la Corte di Cassazione ha ribadito un principio fondamentale in materia di sicurezza informatica, chiarendo che anche un superiore gerarchico che utilizzi la password di un collaboratore senza autorizzazione, per scopi estranei al mandato ricevuto, commette il reato di accesso abusivo a un sistema informatico.
La sentenza della Cassazione Il caso riguardava un impiegato di un hotel che aveva ottenuto, senza diritto, la password della sua collaboratrice, con la quale accedeva al sistema informatico aziendale per finalità non autorizzate. Sebbene il reato fosse prescritto e la Corte si sia espressa solo in ambito civile, la decisione ha sollevato importanti riflessioni sul trattamento dei dati personali e sulla sicurezza delle informazioni aziendali.
Implicazioni per il GDPR L'argomento è di particolare rilevanza anche in relazione al Regolamento Generale sulla Protezione dei Dati (GDPR). La sentenza conferma che l'accesso non autorizzato a un sistema informatico non solo costituisce un illecito penale, ma può anche comportare violazioni gravi delle disposizioni del GDPR, in particolare quelle relative alla sicurezza dei dati e alla responsabilità nel trattamento dei dati personali.
Accesso non autorizzato e violazione della sicurezza L'articolo 32 del GDPR impone che le aziende adottino misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compreso il controllo degli accessi ai sistemi informatici. L'uso improprio delle credenziali di accesso, come nel caso in oggetto, espone l'azienda a rischi significativi, sia in termini di protezione dei dati che di reputazione.
Principio di responsabilità (accountability) Il GDPR stabilisce che il titolare del trattamento dei dati è responsabile del rispetto delle normative sulla protezione dei dati e deve garantire che i dipendenti e collaboratori siano adeguatamente formati sulle pratiche di sicurezza. Consentire a un superiore di accedere ai dati tramite credenziali di un collaboratore senza una giustificazione legittima può configurare una violazione dei principi di trasparenza e responsabilità.
Sanzioni e rischi per le aziende L'accesso abusivo ai dati, oltre a configurare un reato penale, può comportare pesanti sanzioni amministrative ai sensi del GDPR. In caso di violazione dei diritti degli interessati, le autorità competenti potrebbero imporre multe che possono arrivare fino al 4% del fatturato annuo globale dell'azienda.
Cosa fare per tutelarsi? Le aziende devono adottare politiche di gestione sicura delle credenziali e rafforzare le misure di sicurezza informatica, per evitare situazioni in cui l'accesso non autorizzato possa mettere a rischio la protezione dei dati personali.
1. 2. 3. Politiche aziendali chiare: Definire e comunicare chiaramente le politiche aziendali relative all'accesso ai dati, inclusi i permessi per i superiori. Formazione continua: Assicurarsi che tutti i dipendenti, in particolare quelli con accesso a dati sensibili, siano formati riguardo le normative di sicurezza informatica e GDPR. Audit e monitoraggio: Attuare sistemi di audit per monitorare gli accessi e rilevare comportamenti sospetti o accessi non autorizzati.
La sentenza della Cassazione non solo riafferma l'importanza della sicurezza dei sistemi informatici, ma evidenzia anche il forte legame tra il rispetto delle normative penali e quelle sulla protezione dei dati. Le aziende devono essere consapevoli che una violazione delle credenziali di accesso, anche da parte di un superiore, può comportare non solo sanzioni penali, ma anche gravi conseguenze in termini di responsabilità civile e violazione del GDPR.
Assicurarsi che tutti i soggetti coinvolti nel trattamento dei dati siano consapevoli dei rischi e delle normative è fondamentale per evitare danni economici e reputazionali. Proteggere i dati non è solo una questione di compliance, ma una responsabilità che ogni azienda deve assumere con serietà.
