Comunicazione a terzi di password aziendale riservata da parte del dipendente – inadempimento grave – liceita’ del licenziamento – sussiste
Cassazione – Sezione lavoro – sentenza 9 maggio-13 settembre 2006, n. 19554
Presidente Ciciretti – Relatore De Matteis
Pm Gaeta – conforme – Ricorrente XXXXX – Controricorrente Micron Technology Italia Srl
Svolgimento del processo
La Micron Technology Italia Srl ha licenziato il proprio dipendente signor XXXXX previa contestazione disciplinare del fatto che a partire dal mese di novembre 1999 erano state eseguite connessioni con la rete informativa interna della società utilizzando l’identificativo del XXXXX, e ciò anche da un’utenza telefonica del distretto di Milano, in giorni in cui il XXXXX era al lavoro nella sede di Avezzano; tali connessioni si erano verificate anche nei giorni 26, 27 e 28 dicembre utilizzando la password del XXXXX da poco sostituita.
L’impugnativa del licenziamento, accolta dal Tribunale di Avezzano, è stata respinta dalla Corte d’appello di L’Aquila con sentenza 30 ottobre 2003/8 gennaio 2004 n. 91.
Il giudice d’appello ha ritenuto accertate le seguenti circostanze di fatto:
1. le connessioni dall’esterno utilizzando la password del XXXXX sono iniziate subito dopo il licenziamento del dipendente YYYY, avvenuto il 26 ottobre 1999;
2. esse sono state eseguite in maggioranza attraverso un’utenza appartenente al distretto telefonico di Milano ed intestata alla moglie del YYYY, come da rapporto P.S.;
3. il 13 dicembre 1999 il XXXXX ha modificato la propria password su richiesta del sistema informatico;
4. alle ore 13.05 del giorno 24 dicembre 1999 è intercorsa una telefonata tra il YYYY ed il XXXXX, e dal pomeriggio dello stesso giorno sono riprese le connessioni dall’utenza telefonica intestata alla moglie del YYYYY con la nuova password del XXXXX.
Il primo giudice aveva ritenuto che non fosse possibile escludere che il YYYYY fosse venuto a conoscenza della password del XXXXX per altre vie, in particolare:
1. potrebbe essergli stata comunicata dall’amministratore del sistema informatico,
2. o da altri colleghi che avrebbero sbirciato alle spalle del XXXXX,
3. ovvero perché il YYYYY avrebbe indovinato la password tentando a caso. Non essendovi tale certezza, ha ritenuto che non fosse possibile affermare la responsabilità del XXXXX.
Il giudice d’appello, con ampia motivazione, ha argomentato che le tre possibilità ventilate dal primo giudice erano o impossibili a verificarsi o molto poco verosimili.
Avverso tale sentenza ha proposto ricorso per Cassazione il XXXXX, con tre motivi.
La società intimata si è costituita con controricorso, resistendo. Entrambi hanno depositato memoria.
Motivi della decisione
Con il primo motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli 2104, 2105, 2119, 1324, 1362 e ss. Cc; articoli 1 e 3 legge 604/66; articolo 7 legge 300/70; 112 Cpc; omessa, insufficiente e contraddittoria motivazione su punto decisivo della controversia (articolo 360, nn. 3 e 5 Cpc), censura la sentenza impugnata per violazione dei principi della specificità ed immutabilità della contestazione, sotto diversi profili.
Sostiene innanzitutto la mancanza di specificità degli addebiti, che non avrebbe consentito al lavoratore l’individuazione dei fatti nella loro materialità.
Assume poi che, mentre la contestazione aveva per oggetto il fatto della connessione personale dall’esterno da parte del XXXXX, la sentenza impugnata ha interpretato come motivo del licenziamento il fatto della comunicazione della password al YYYY, violando così il principio della immutabilità della contestazione.
Il motivo non è fondato, nei suoi diversi profili.
Secondo la consolidata giurisprudenza di questa Corte, la previa contestazione dell’addebito, necessaria in funzione dei licenziamenti disciplinari, ha lo scopo di consentire al lavoratore l’immediata difesa e deve conseguentemente rivestire il carattere della specificità, che è integrato quando sono fornite le indicazioni necessarie ed essenziali per individuare, nella sua materialità il fatto o i fatti nei quali il datore di lavoro abbia ravvisato infrazioni disciplinari o comunque comportamenti in violazione dei doveri di cui agli articoli 2104 e 2105 Cc (ex plurimis Cassazione 11045/04).
La sentenza impugnata non ha immutato i fatti contestati, ma ne ha operato una valutazione di merito, alla stessa rimessa, il che non costituisce imputazione dei fatti.
Con il secondo motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli 115, 116 e 132 Cpc; 2119, 2697, 2727 e 2729 Cc; 5 legge 604/66; omessa, insufficiente e contraddittoria motivazione su punto decisivo della controversia (articolo 360 nn 3 e 5 Cpc), censura la sentenza impugnata nel governo delle risultanze istruttorie.
Anche questo motivo non è fondato.
Il giudice d’appello ha esaminato partitamene le singole motivazioni della sentenza avanti a lui impugnata, ed ha esposto le sue contrarie considerazioni e conclusioni in maniera molto ragionata.
1. Circa la possibilità che il YYYYY sia potuto venire a conoscenza della password dall’amministratore del sistema, ha rilevato, seguendo la esposizione tecnica della Micron, che al primo accesso l’utente è obbligato dal sistema a modificare la propria password, con la conseguenze che l’amministratore del sistema non è più in grado di conoscerla. Infatti, una volta memorizzata la password, il sistema la trasforma automaticamente ed immediatamente, attraverso un algoritmo matematico, in una stringa che successivamente il sistema stesso sarà in grado di riconoscere; una simile operazione è irreversibile e non è quindi possibile risalire alla password partendo dalla stringa.
Ha rilevato inoltre che, se è vero che i sistemisti possono annullare la password di un dipendente ed inserirne una nuova, è anche vero che il dipendente interessato verrebbe immediatamente a conoscenza di una simile operazione, visto che la sua vecchia password sarebbe ormai da lui inutilizzabile e si vedrebbe, quindi, negato l’accesso al sistema; nel nostro caso, il XXXXX non ha mai dedotto di essere stato vittima di un simile accadimento, ma, anzi, è del tutto pacifico che la password utilizzata per le connessioni per cui è causa è sempre stata proprio quella prescelta dallo stesso XXXXX.
2. Quanto alle possibilità che altri dipendenti possano aver carpito la password osservando il XXXXX nel momento in cui la digitava, il giudice d’appello ha sottolineato che il piano di lavoro del dipendente si trovava sul lato del box opposto a quello dove si apriva la porta che dava sul corridoio (v. la riproduzione grafica delle postazioni di lavoro degli impiegati allegata al fascicolo della Micron nel procedimento ex articolo 700). Ne ha dedotto che era praticamente impossibile che qualche impiegato, transitando sul corridoio o affacciandosi sulla porta, potesse vedere i tasti premuti dal XXXXX nel momento in cui digitava la password perché costui si sarebbe trovato con la schiena rivolta verso la porta e pertanto avrebbe coperto con il proprio corpo la visuale della tastiera al collega.
Il giudice d’appello ha inoltre rilevato che l’eventualità prospettata dal Tribunale appare davvero improbabile se si considera che il YYYYY ha eseguito le connessioni utilizzando non solamente la “vecchia” password del XXXXX, ma anche quella “nuova” che egli, su richiesta del sistema, aveva dovuto adottare in sostituzione della prima. Tale circostanza, innanzi tutto, esclude la possibilità che il YYYYY sia venuto a conoscenza della password in ragione del fatto di lavorare insieme con il XXXXX; infatti, la seconda delle password in questione è stata adottata dal XXXXX quando il YYYYYY era stato già da tempo licenziato dalla Micron.
3. Infine, il giudice d’appello ha escluso la terza ipotesi prospettata dal Tribunale e cioè che il YYYYY abbia indovinato la password del XXXXX provando a caso varie combinazioni, rilevando l’elevatissimo numero di combinazioni possibili per una password che utilizzi, come nel caso di specie, da un minimo di sei ad un massimo di 32 caratteri alfanumerici.
In conclusione, delle tre possibili ipotesi prospettate dal Tribunale circa le modalità attraverso le quali il YYYY sarebbe potuto venire a conoscenza della password del XXXXX, la sentenza impugnata ha ritenuto la prima (responsabilità dell’amministratore del sistema) impossibile e le altre due (da terzi o tentando a caso) estremamente improbabili.
Viceversa il giudice d’appello ha ritenuto che nel senso della responsabilità diretta del XXXXX depongono le seguenti circostanze di fatto: a) il XXXXX era l’unico che conosceva le proprie password; b) le connessioni dall’esterno sono state compiute utilizzando ben due password diverse e ciò si spiega molto facilmente se si ammette che sia stato lo stesso XXXXX a comunicare le password al YYYY; c) dopo la modifica della password, il YYYY tentò inutilmente di collegarsi alla rete e vi riuscì nuovamente (utilizzando la nuova password) solamente dopo avere intrattenuto un colloquio telefonico con il XXXXX.
La Corte ritiene la motivazione sopra riassunta molto ragionata e priva di vizi logici o giuridici.
Occorre ricordare che la deduzione di un vizio di motivazione della sentenza impugnata con ricorso per cassazione conferisce al giudice di legittimità non il potere di riesaminare il merito della intera vicenda processuale sottoposta al suo vaglio, bensì la sola facoltà di controllo, sotto il profilo della correttezza giuridica e della coerenza logico-formale, delle argomentazioni svolte dal giudice del merito, al quale spetta, in via esclusiva, il compito di individuare le fonti del proprio convincimento, di assumere e valutare le prove, di controllarne l’attendibilità e la concludenza, di scegliere, tra le complessive risultanze del processo, quelle ritenute maggiormente idonee a dimostrare la veridicità dei fatti ad esse sottesi, dando, così, liberamente prevalenza all’uno o all’altro dei mezzi di prova acquisiti (salvo i casi tassativamente previsti dalla legge). Ne consegue che il preteso vizio di motivazione, sotto il profilo della omissione, insufficienza, contraddittorietà della medesima, può legittimamente dirsi sussistente solo quando, nel ragionamento del giudice di merito, sia rinvenibile traccia evidente del mancato (o insufficiente) esame di punti decisivi della controversia, prospettato dalle parti o rilevabile di ufficio, ovvero quanto esista insanabile contrasto tra le argomentazioni complessivamente adottate, tale da non consentire l’identificazione del procedimento logico-giuridico posto a base della decisione (Cassazione 2399/04; Su 13045/97; 5802/98; 10503/93).
In realtà le censure del ricorrente non segnalano vizi del ragionamento, ma dissensi interpretati sui fatti.
Con il terzo motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli 2106, 2119 Cc; 7 legge 300/70; omessa, insufficiente e contraddittoria motivazione su punto decisivo della controversia (articolo 360, nn. 3 e 5 Cpc) censura la sentenza impugnata in punto di proporzionalità tra mancanza e sanzione. Rileva che il XXXXX aveva accesso al sistema come user, e cioè come utente ordinario; poteva con il codice relativo accedere alle statistiche ed alle illustrazioni pubblicitarie dei prodotti, ma non poteva interagire con il sistema, non aveva accesso ai programmi, non poteva fare copia di files o programmi residenti nel sistema.
Sul punto il giudice d’appello ha così motivato:
per quanto riguarda, infine, la valutazione della gravità dell’inadempimento realizzato dal XXXXX, ritiene il Collegio che essa sia tale da giustificare il recesso datoriale. Invero il comportamento del lavoratore si è concretato nella diffusione all’esterno di dati (le password personali) idonei a consentire a terzi di accedere ad una grande massa di informazioni attinenti l’attività aziendale e destinate a restare riservate.
Il ricorrente non contesta che si trattasse di dati comunque riservati.
La valutazione della proporzionalità della sanzione rispetto alla gravità della mancanza del lavoratore si risolve in un apprezzamento di fatto incensurabile in sede di legittimità ove sorretto da motivazione adeguata e logica (ex plurimis Cassazione 16628/04; 12083/03; 12001/03). La sottrazione di dati aziendali è stata ritenuta idonea ad integrare la giusta causa di licenziamento (Cassazione 2560/93).
Il ricorso va pertanto respinto.
Le spese processuali seguono la soccombenza e vengono liquidate in euro 103 oltre euro 2500 per onorari di avvocato, oltre spese processuali Iva e Cpa.
PQM
Rigetta il ricorso e condanna la ricorrente a pagare le spese del presente giudizio liquidate in euro 103 oltre a euro 2500 per onorari di avvocato, oltre spese generali Iva e Cpa.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange