Si propone una breve nota di commento alla sentenza della Cassazione Penale (Sezione V) n. 48895 del 25 ottobre 2018.
Con la sentenza n. 48895 del 25 ottobre 2018, la V Sezione Penale della Corte di Cassazione torna ad occuparsi di accesso abusivo a sistema informatico ex-art. 615 ter del codice penale.
Nello specifico la questione posta all’attenzione della Corte ha riguardato, più che un accesso abusivo da esterno da parte di hacker malintenzionati, un accesso dall’interno a dati aziendali di una certa rilevanza effettuato da un dirigente che aveva credenziali di accesso legittimamente detenute.
Nel confermare la sentenza di condanna della Corte di Appello del Tribunale di Bologna la Cassazione, con motivazioni condivisibili e partendo dalle premesse di cui sopra, ha contestato all’imputato l’utilizzo delle credenziali ricevute per finalità assolutamente non pertinenti agli scopi per i quali le stesse gli erano state rilasciate dal titolare dell’impresa.
La sentenza affronta un problema a cui le Aziende molto spesso non danno il giusto rilievo: la sicurezza informatica e la protezione di dati e informazioni rilevanti per il business aziendale non solo da attacchi esterni ma anche dai dipendenti infedeli che mirano ad accedere a tali informazioni, spesso non necessarie per la loro attività lavorativa, ma al solo fine di “rivenderle” alla concorrenza al fine di ottenere benefici economici o un impiego con retribuzioni più alte presso la stessa Azienda concorrente dopo essersi licenziati da quella da cui avevano carpito illegittimamente le informazioni riservate.
La segregazione dei compiti, l’accesso solo alle informazioni necessarie per lo svolgimento della propria attività lavorativa, l’impostazione dei sistemi in modo da rendere impossibile la copia di dati aziendali riservati attraverso opportune tecniche informatiche, il tutto ben riportato in una “policy” sull’uso dei dispositivi informatici aziendali da portare a conoscenza di tutto il personale, sono indubbiamente sistemi efficaci per ridurre il rischio che si verifichino situazioni come quelle che hanno determinato la vicenda processuale a cui la Cassazione ha posto la parola fine con la sentenza richiamata.
I controlli difensivi nel rispetto delle norme del Codice Privacy e dell’art. 4 dello Statuto dei Lavoratori sono altresì ulteriori misure utili per ridurre il rischio di perdita di dati e informazioni rilevanti per le Aziende a seguito di attacchi da parte di insiders interni e a cui spesso le stesse Aziende, troppo spesso occupate a difendere il “perimetro” esterno, non prestano la dovuta attenzione.
Alfonso Buccini