Mancata segretezza della password per l´accesso al sistema informatico aziendale: possibile il licenziamento

La vicenda ha avuto inizio quando l´azienda ha rilevato che erano state eseguite connessioni con la rete informativa interna utilizzando l´identificativo del dipendente, il quale si trovava però in luogo diverso da quello di origine delle connessioni. Non solo, ma i collegamenti anomali alla rete erano avvenuti anche dopo la modifica della password.

Il dipendente infatti aveva comunicato la password ad un soggetto esterno, che si era connesso alla rete aziendale.

La Corte ha esaminato dettagliatamente le circostanze, rilevando che il sistema informatico aziendale è configurato in modo che "al primo accesso l´utente è obbligato a modificare la propria password, con la conseguenza che l´amministratore del sistema non è più in grado di conoscerla. Infatti, una volta memorizzata la password, il sistema la trasforma automaticamente ed immediatamente, attraverso un algoritmo matematico, in una stringa che successivamente il sistema stesso sarà in grado di riconoscere; una simile operazione è irreversibile e non è quindi possibile risalire alla password partendo dalla stringa."

Ha rilevato inoltre che, se è vero che i sistemisti possono annullare la password di un dipendente ed inserirne una nuova, è anche vero che il dipendente interessato verrebbe immediatamente a conoscenza di una simile operazione, visto che la sua vecchia password sarebbe ormai da lui inutilizzabile e si vedrebbe, quindi, negato l´accesso al sistema.

Di conseguenza - e anche sulla base di altre circostanze specificate in dettaglio nella sentenza di seguito pubblicata - si deve ragionevolmente escludere che la password possa essere stata comunicata all´esterno da soggetti diversi dal dipendente.

A propria difesa, il dipendente licenziato aveva evidenziato di poter accedere al sistema come semplice user, e cioè come utente ordinario: poteva consultare le statistiche e le illustrazioni pubblicitarie dei prodotti, ma non poteva interagire con il sistema, non aveva accesso ai programmi, non poteva fare copia di files o programmi residenti nel sistema.

Sul punto, la Corte ha ritenuto adeguata e logica la motivazione del giudice d´appello: "Per quanto riguarda, infine, la valutazione della gravità dell´inadempimento realizzato dal dipendente, ritiene il Collegio che essa sia tale da giustificare il recesso datoriale. Invero il comportamento del lavoratore si è concretato nella diffusione all´esterno di dati (le password personali) idonei a consentire a terzi di accedere ad una grande massa di informazioni attinenti l´attività aziendale e destinate a restare riservate."

La sentenza n. 19554 del 13 settembre 2006 della Corte di Cassazione ripropone il problema delle misure di sicurezza nel trattamento dei dati, disciplinato dalla normativa sulla privacy.

La scelta, assegnazione, modifica, cancellazione, ecc. delle password per l´accesso a dati e trattamenti, infatti, è una delle misure minime di sicurezza che qualsiasi azienda deve ad adottare, in forza dell´allegato B al Codice della privacy, che disponen che la password sia composta da almeno otto caratteri, non contenga riferimenti agevolmente riconducibili all´incaricato e venga modificata da quest´ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.

Giovanni Scotti