la diffusione della password all'esterno configura ... - Intesa Sanpaolo.
la diffusione della password all'esterno configura ... - Intesa Sanpaolo.
la diffusione della password all'esterno configura ... - Intesa Sanpaolo.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
LA DIFFUSIONE DELLA PASSWORD<br />
ALL’ESTERNO CONFIGURA IL<br />
LICENZIAMENTO PER GIUSTA CAUSA<br />
di Bruno Pagamici<br />
Risorse Umane >> Gestione e organizzazione del personale
Il dipendente che diffonde all’esterno dell’azienda <strong>la</strong> propria <strong>password</strong> è sanzionabile con il<br />
licenziamento. Consentire ad altri di accedere alle informazioni aziendali <strong>configura</strong> <strong>la</strong><br />
fattispecie del<strong>la</strong> giusta causa.<br />
È quanto ha deciso <strong>la</strong> Corte di cassazione, sezione <strong>la</strong>voro, con sentenza n. 19554 del<br />
13/9/2006, con cui è stato stabilito che il recesso intimato dal datore di <strong>la</strong>voro è legittimo<br />
quando «il comportamento del <strong>la</strong>voratore si concreta nel<strong>la</strong> <strong>diffusione</strong> <strong>all'esterno</strong> di dati (le<br />
<strong>password</strong> personali) idonei a consentire a terzi di accedere ad una gran massa di<br />
informazioni attinenti l'attività aziendale e destinate a restare riservate».<br />
La vicenda ha riguardato un <strong>la</strong>voratore alle dipendenze di una società di computer, il quale<br />
aveva fornito <strong>la</strong> sua <strong>password</strong> ad un ex collega licenziato tempo prima dall’impresa,<br />
consentendogli di accedere a informazioni riservate. La società, control<strong>la</strong>ndo gli accessi al<strong>la</strong><br />
rete interna, ha potuto stabilire con certezza che un utente accedeva dall’esterno utilizzando<br />
l’identificativo del dipendente poi licenziato, il quale nello stesso momento risultava impegnato<br />
al telefono nel proprio ufficio.<br />
SENTENZA N. 19554 DEL 13-9-2006<br />
I giudici di secondo grado avevano ribaltato <strong>la</strong> pronuncia del tribunale ordinario, il quale aveva<br />
dato ragione al dipendente ritenendo che «non fosse possibile affermare <strong>la</strong> sua<br />
responsabilità», e che l’identificativo del<strong>la</strong> sua <strong>password</strong> poteva essere stato appreso di<br />
nascosto o indovinata a caso da chi <strong>la</strong> usava d<strong>all'esterno</strong>.<br />
Per <strong>la</strong> Suprema Corte invece, <strong>la</strong> sottrazione di dati aziendali è stata ritenuta idonea ad<br />
integrare <strong>la</strong> giusta causa di licenziamento, in quanto il comportamento del <strong>la</strong>voratore si è<br />
concretato nel<strong>la</strong> <strong>diffusione</strong> <strong>all'esterno</strong> di dati idonei a consentire a terzi di accedere ad una gran<br />
massa di informazioni attinenti l'attività aziendale e destinate a restare riservate.<br />
IL CASO<br />
La Cassazione ha confermato <strong>la</strong> pronuncia del<strong>la</strong> Corte d'appello che a sua volta aveva invece<br />
riformato quel<strong>la</strong> del Tribunale, il quale aveva accolto l'impugnazione del licenziamento del<br />
dipendente.<br />
Il giudice dell’appello aveva accertato che le connessioni d<strong>all'esterno</strong>, utilizzando <strong>la</strong> <strong>password</strong>,<br />
erano iniziate subito dopo il licenziamento del collega di <strong>la</strong>voro e provenivano da un'utenza<br />
appartenente al distretto telefonico del<strong>la</strong> moglie di quest’ultimo (come da rapporto del<strong>la</strong><br />
Pubblica Sicurezza). Inoltre, il <strong>la</strong>voratore licenziato provvedeva al<strong>la</strong> modifica del<strong>la</strong> propria<br />
<strong>password</strong> su richiesta del sistema informatico, ma, successivamente ad una telefonata con l'ex<br />
collega, riprendevano le connessioni dall'utenza telefonica con <strong>la</strong> nuova <strong>password</strong>.<br />
Mentre il giudice di prime cure aveva ritenuto che l’ex collega fosse venuto a conoscenza del<strong>la</strong><br />
<strong>password</strong> da altri colleghi o dall'amministratore del sistema informatico, o attraverso<br />
tentativi casuali, i giudici dell’appello avevano giudicato tali eventualità impossibili a verificarsi<br />
o molto poco verosimili.<br />
La Corte di Cassazione ha ripercorso l'iter logico - giuridico del<strong>la</strong> Corte territoriale, rilevando ad<br />
esempio, in re<strong>la</strong>zione al<strong>la</strong> ipotesi del<strong>la</strong> comunicazione del codice riservato da parte<br />
dell'amministratore di rete, che: «al primo accesso l'utente è obbligato dal sistema a<br />
modificare <strong>la</strong> propria <strong>password</strong>, con <strong>la</strong> conseguenze che l'amministratore del sistema non è<br />
più in grado di conoscer<strong>la</strong> ..., una volta memorizzata <strong>la</strong> <strong>password</strong>, il sistema <strong>la</strong> trasforma<br />
automaticamente ed immediatamente, attraverso un algoritmo matematico, in una stringa che<br />
successivamente il sistema stesso sarà in grado di riconoscere; una simile operazione è<br />
irreversibile e non è quindi possibile risalire al<strong>la</strong> <strong>password</strong> partendo dal<strong>la</strong> stringa ..., se è vero<br />
che i sistemisti possono annul<strong>la</strong>re <strong>la</strong> <strong>password</strong> di un dipendente ed inserirne una nuova, è<br />
anche vero che il dipendente interessato verrebbe immediatamente a conoscenza di una simile<br />
operazione, visto che <strong>la</strong> sua vecchia <strong>password</strong> sarebbe ormai da lui inutilizzabile e si<br />
vedrebbe, quindi, negato l'accesso al sistema».<br />
Pagina 2 di 5
Il <strong>la</strong>voratore, con il primo motivo del ricorso, deducendo vio<strong>la</strong>zione e falsa applicazione degli<br />
articoli 2104, 2105, 2119, 1324, 1362 e ss. cc; articoli 1 e 3, legge n. 604/1966; art. 7, legge<br />
n. 300/70; 112 Cpc; omessa, insufficiente e contraddittoria motivazione su punto decisivo<br />
del<strong>la</strong> controversia (art. 360, numeri 3 e 5 c.p.c.), censurava <strong>la</strong> sentenza impugnata per<br />
vio<strong>la</strong>zione dei principi del<strong>la</strong> specificità ed immutabilità del<strong>la</strong> contestazione, sotto diversi profili.<br />
Il ricorrente aveva sostenuto <strong>la</strong> mancanza di specificità degli addebiti, che non avrebbe<br />
consentito l’individuazione dei fatti nel<strong>la</strong> loro materialità. Secondo <strong>la</strong> Cassazione il motivo non<br />
è fondato. Innanzitutto perché secondo <strong>la</strong> consolidata giurisprudenza del<strong>la</strong> stessa Corte, <strong>la</strong><br />
previa contestazione dell'addebito, necessaria in funzione dei licenziamenti disciplinari, ha lo<br />
scopo di consentire al <strong>la</strong>voratore l'immediata difesa e deve conseguentemente rivestire il<br />
carattere del<strong>la</strong> specificità. Tale fattispecie è integrata quando sono fornite le indicazioni<br />
necessarie ed essenziali per individuare, nel<strong>la</strong> sua materialità, il fatto o i fatti nei quali il datore<br />
di <strong>la</strong>voro abbia ravvisato infrazioni disciplinari o comunque comportamenti in vio<strong>la</strong>zione dei<br />
doveri di cui agli artt. 2104 e 2105 c.c. (Cassazione 11045/04).<br />
La sentenza impugnata non ha immutato i fatti contestati, ma ne ha operato una valutazione<br />
di merito, al<strong>la</strong> stessa rimessa, il che non costituisce imputazione dei fatti.<br />
Ma anche deducendo <strong>la</strong> vio<strong>la</strong>zione e <strong>la</strong> falsa applicazione degli artt. 115, 116 e 132 c.p.c., degli<br />
artt. 2119, 2697, 2727 e 2729 c.c., del<strong>la</strong> legge 604/66; omessa, insufficiente e contraddittoria<br />
motivazione su punto decisivo del<strong>la</strong> controversia (art. 360 numeri 3 e 5 c.p.c.), i Supremi<br />
giudici hanno censurato, anche sotto questo aspetto, <strong>la</strong> sentenza impugnata.<br />
Secondo <strong>la</strong> Corte, infatti, il giudice d'appello ha esaminato le singole motivazioni del<strong>la</strong> sentenza<br />
avanti a lui impugnata, ed ha esposto le sue contrarie considerazioni e conclusioni<br />
in maniera molto ragionata.<br />
LA CORTE D’APPELLO<br />
Interessante appaiono inoltre le argomentazioni dei giudici dell’appello circa <strong>la</strong> possibilità che<br />
l’ex collega del ricorrente sia potuto venire a conoscenza del<strong>la</strong> <strong>password</strong> dall'amministratore<br />
del sistema. I giudici, in tal caso, hanno rilevato che al primo accesso l'utente è obbligato dal<br />
sistema a modificare <strong>la</strong> propria <strong>password</strong>, con <strong>la</strong> conseguenze che l'amministratore del sistema<br />
non è più in grado di conoscer<strong>la</strong>. Infatti, una volta memorizzato tale codice, il sistema lo<br />
trasforma automaticamente ed immediatamente, attraverso un algoritmo matematico, in una<br />
stringa che successivamente il sistema stesso sarà in grado di riconoscere; una simile<br />
operazione è irreversibile e non è quindi possibile risalire al<strong>la</strong> <strong>password</strong> partendo dal<strong>la</strong> stringa.<br />
I giudici di seconde cure, inoltre, avevano rilevato che - se è vero che i sistemisti possono<br />
annul<strong>la</strong>re <strong>la</strong> <strong>password</strong> di un dipendente ed inserirne una nuova - è anche vero che il<br />
dipendente interessato verrebbe immediatamente a conoscenza di una simile operazione, visto<br />
che <strong>la</strong> sua vecchia <strong>password</strong> sarebbe ormai da lui inutilizzabile e si vedrebbe, quindi, negato<br />
l'accesso al sistema. Nel caso in esame, invece, il ricorrente non aveva ha mai dedotto di<br />
essere stato vittima di un simile accadimento ma, anzi, è del tutto pacifico che <strong>la</strong> <strong>password</strong><br />
utilizzata per le connessioni per cui è causa è sempre stata proprio quel<strong>la</strong> prescelta dallo stesso<br />
<strong>la</strong>voratore.<br />
Quanto alle possibilità che altri dipendenti possano aver carpito <strong>la</strong> <strong>password</strong> osservando il<br />
ricorrente nel momento in cui <strong>la</strong> digitava, il giudice d'appello ha sottolineato che il piano di<br />
<strong>la</strong>voro del dipendente si trovava sul <strong>la</strong>to del box opposto a quello dove si apriva <strong>la</strong> porta che<br />
dava sul corridoio. Da ciò ne ha dedotto che era praticamente impossibile che qualche<br />
impiegato, transitando sul corridoio o affacciandosi sul<strong>la</strong> porta, potesse vedere i tasti premuti<br />
dal <strong>la</strong>voratore nel momento in cui digitava <strong>la</strong> <strong>password</strong>, in quanto questi si sarebbe trovato con<br />
<strong>la</strong> schiena rivolta verso <strong>la</strong> porta e pertanto avrebbe coperto con il proprio corpo <strong>la</strong> visuale del<strong>la</strong><br />
tastiera al collega.<br />
Pagina 3 di 5
Veniva infine rilevato, che l'eventualità prospettata dal Tribunale appare davvero improbabile<br />
se si considera che l’ex collega aveva eseguito le connessioni utilizzando non so<strong>la</strong>mente <strong>la</strong><br />
«vecchia» <strong>password</strong>, ma anche quel<strong>la</strong> «nuova» che egli, su richiesta del sistema, aveva<br />
dovuto adottare in sostituzione del<strong>la</strong> prima. Tale circostanza, innanzi tutto, esclude <strong>la</strong><br />
possibilità che l’ex collega sia venuto a conoscenza del<strong>la</strong> <strong>password</strong> in ragione del fatto di<br />
<strong>la</strong>vorare insieme con il ricorrente; infatti, <strong>la</strong> successiva delle <strong>password</strong> in questione è stata<br />
adottata dal secondo quando il primo era stato già da tempo licenziato.<br />
Infine, i giudici territoriali avevano escluso <strong>la</strong> terza ipotesi prospettata dal Tribunale e cioè che<br />
l’ex collega avesse indovinato <strong>la</strong> <strong>password</strong> del Caio provando a caso varie combinazioni,<br />
rilevando l'elevatissimo numero di combinazioni possibili per una <strong>password</strong> che utilizzi, come<br />
nel caso di specie, da un minimo di sei ad un massimo di 32 caratteri alfanumerici.<br />
In conclusione, delle tre possibili ipotesi prospettate dal Tribunale circa le modalità attraverso<br />
le quali l’ex collega sarebbe potuto venire a conoscenza del<strong>la</strong> <strong>password</strong> del <strong>la</strong>voratore, <strong>la</strong><br />
sentenza impugnata ha ritenuto <strong>la</strong> prima (responsabilità dell'amministratore del sistema)<br />
impossibile e le altre due (da terzi o tentando a caso) estremamente improbabili.<br />
Viceversa il giudice d'appello ha ritenuto che nel senso del<strong>la</strong> responsabilità diretta del<br />
ricorrente depongono le seguenti circostanze di fatto:<br />
a) il <strong>la</strong>voratore era l'unico che conosceva le proprie <strong>password</strong>;<br />
b) le connessioni d<strong>all'esterno</strong> sono state compiute utilizzando ben due <strong>password</strong> diverse e<br />
ciò si spiega molto facilmente se si ammette che sia stato lo stesso <strong>la</strong>voratore a<br />
comunicare le <strong>password</strong> al suo ex collega;<br />
c) dopo <strong>la</strong> modifica del<strong>la</strong> <strong>password</strong>, l’ex collega tentò inutilmente di collegarsi al<strong>la</strong> rete e vi<br />
riuscì nuovamente (utilizzando <strong>la</strong> nuova <strong>password</strong>) so<strong>la</strong>mente dopo avere intrattenuto<br />
un colloquio telefonico con il ricorrente.<br />
d) Al<strong>la</strong> Corte di Cassazione, le suddette motivazioni sono apparse molto ragionate, prive di<br />
vizi logici o giuridici e quindi in grado di essere accolte.<br />
LE CONCLUSIONI DELLA SUPREMA CORTE<br />
Circa <strong>la</strong> gravità dell'illecito compiuto dal <strong>la</strong>voratore, pertanto, i Supremi giudici non hanno fatto<br />
altro che giudicare congrua <strong>la</strong> sanzione del licenziamento sul<strong>la</strong> base del<strong>la</strong> valutazione compiuta<br />
dal<strong>la</strong> Corte d'appello: «Invero il comportamento del <strong>la</strong>voratore si è concretato nel<strong>la</strong> <strong>diffusione</strong><br />
<strong>all'esterno</strong> di dati (le <strong>password</strong> personali) idonei a consentire a terzi di accedere ad una<br />
grande massa di informazioni attinenti l'attività aziendale e destinate a restare<br />
riservate». Il ricorrente non contesta che si trattasse di dati comunque riservati.<br />
Poiché <strong>la</strong> valutazione del<strong>la</strong> proporzionalità del<strong>la</strong> sanzione rispetto al<strong>la</strong> gravità del<strong>la</strong> mancanza<br />
del <strong>la</strong>voratore si risolve in un apprezzamento di fatto incensurabile in sede di legittimità ove<br />
sorretto da motivazione adeguata e logica (ex plurimis Cassazione n. 16628/04; n. 12083/03;<br />
n.12001/03). La sottrazione di dati aziendali è stata ritenuta idonea ad integrare <strong>la</strong><br />
giusta causa di licenziamento (Cassazione n. 2560/93), con conseguente rigetto del ricorso.<br />
Pagina 4 di 5
GLOSSARIO<br />
Giusta causa di licenziamento<br />
La legge non determina il significato di giusta causa: infatti, l’art. 2119 c.c. si limita a<br />
definire genericamente come giusta causa di licenziamento quel<strong>la</strong> che non consente <strong>la</strong><br />
prosecuzione anche provvisoria del rapporto, vale a dire neppure il periodo di preavviso.<br />
Secondo una parte del<strong>la</strong> dottrina, <strong>la</strong> giusta causa non è rappresentata esclusivamente da<br />
comportamenti costituenti notevoli inadempienze contrattuali, ma può essere determinata<br />
anche da comportamenti estranei al<strong>la</strong> sfera del contratto e diversi dall’inadempimento,<br />
purché idonei a produrre effetti riflessi nell’ambiente di <strong>la</strong>voro e a far venire meno <strong>la</strong> fiducia<br />
che impronta di sé il rapporto.<br />
Amministratore del sistema informatico<br />
L'art. 1 del D.P.R. n. 318/1999, definiva l'amministratore di sistema come «il soggetto cui è<br />
conferito il compito di sovrintendere alle risorse del sistema operativo di un e<strong>la</strong>boratore o<br />
di un sistema di base dati e di consentirne l'utilizzazione». Nel nuovo Codice del<strong>la</strong> privacy<br />
questa figura è scomparsa, ma questo una figura con tali compiti è tuttora importante<br />
nell'attuale società dell'informazione.<br />
Documento reperibile, assieme ad altre monografie, nel<strong>la</strong> sezione Dossier del sito http://www.sanpaoloimprese.com/<br />
Documento pubblicato su licenza di WKI - Ipsoa Editore<br />
Fonte: PMI<br />
Il mensile del<strong>la</strong> picco<strong>la</strong> e media impresa, Ipsoa Editore<br />
Copyright: WKI - Ipsoa Editore<br />
.<br />
Pagina 5 di 5