La Corte di Cassazione si è già espressa in diverse occasioni sul tema dell’accesso abusivo a sistema informatico.
Il Giudice di Legittimità ha delineato due ipotesi da applicarsi con particolare riferimento all’accesso di sistemi telematici ad uso professionale.
In estrema sintesi, il personale dipendente risponde per accesso abusivo a sistema informatico nei seguenti casi:
1) Accesso a sistema informatico effettuato dall’utente in assenza di autorizzazioni per credenziali o privilegi;
2) Accesso a sistema informatico effettuato con credenziali autorizzate, con permanenza ed attività nel sistema per ragioni ontologicamente estranee alle attività e ai servizi per i quali l’accesso è autorizzato e consentito e/o in violazione di condizioni e limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema;
Con la recente del sentenza del 12 luglio 2021, n. 26530, la Suprema Corte prende posizione rispetto alla seconda ipotesi.
Il caso tratta di un dipendente della Pubblica Amministrazione che, precedentemente assegnato ad un’altra unità dello stesso ente, aveva effettuato l’accesso al sistema informatico di servizio al fine di visualizzare una certificazione da lui già inserita nel corso dell’attività pregressa in altro ufficio. Sebbene l’accesso fosse autorizzato a mezzo di credenziali attive, la consultazione dell’area telematica in questione non rientrava più nelle competenze e nei limiti di operatività del dipendente.
Posto che l’accesso del dipendente al sistema informatico interno resta autorizzato con le stesse credenziali, ci si chiede entro che limiti l’utente può mantenersi ed operare nel sistema in esame.
L’attività svolta a mezzo dei servizi informatici deve effettuarsi con specifico riferimento alla mansione svolta e alle competenze correlate. Non è lecito, in generale, mantenersi nel sistema informatico, seppur con credenziali autorizzate, per effettuare qualsiasi operazione (es. visualizzazione di documenti) per ragioni ontologicamente estranee a quelle di servizio.
Al fine di individuare in concreto tali ragioni estranee a finalità professionali, si fa riferimento al criterio di osservanza delle prescrizioni imposte dal titolare del sistema.
La Corte di Cassazione chiarisce che il titolare del sistema è identificabile nella figura del superiore gerarchico preposto.
E’ proprio il titolare a dover acconsentire all’accesso, da parte dei dipendenti, al sistema informatico predisposto e a garantirne i limiti di consultazione.
Nel caso in cui il titolare non presenti espressamente diniego o, in ogni caso, una volontà contraria al libero utilizzo degli strumenti informatici da parte del dipendenti, a questi ultimi non può essere contestata alcuna violazione in materia di accesso abusivo.
Si precisa, infine, che un eventuale dissenso del responsabile deve essere espresso in forma esplicita rispetto alla volontà di ammettere o meno l’accesso e/o il mantenimento del dipendente nel sistema informatico in gestione.
Si trasmette di seguito il testo integrale della sentenza per ulteriore approfondimento.