Chi comunica la propria password aziendale ad altri è licenziabile

di Andrea Monti – PC Professionale n. 189

Una sentenza della Corte di Cassazione fissa un importante principio, valido però solo in certi casi.

Con la sentenza n. 19554/06 (www.ictlex.net/?p=547) la sezione lavoro della Corte di Cassazione ha confermato la validità di un licenziamento disposto da un’azienda nei confronti di un lavoratore che aveva comunicato più volte la propria password a un collega che, a sua volta, era stato licenziato. I controlli degli amministratori di sistema della rete aziendale avevano evidenziato che lo stesso account di un dipendente si collegava in più occasioni da due città diverse (e distanti centinaia di chilometri).

Ulteriori accertamenti eseguiti dal datore di lavoro hanno accertato che il collegamento multiplo si era verificato anche a seguito del cambio della password dell’account in questione. Oltre ad aver denunciato il fatto alla polizia, l’azienda aveva licenziato il dipendente infedele, ritenendo che la comunicazione della password di accesso ai sistemi informativi fosse una violazione talmente grave dei doveri del lavoratore, da giustificare l’interruzione del rapporto di lavoro.

Dal punto di vista IT, i punti rilevanti della sentenza sono essenzialmente l’inutilità di difendersi sostenendo che: l’amministratore di sistema avrebbe potuto comunicare la password in questione all’altro dipendente, senza che il legittimo titolare dell’account ne fosse a conoscenza; qualcun altro avrebbe potuto carpire la password, magari sbirciandola da dietro al monitor, chi aveva violato il sistema la aveva indovinata provando “a caso”. L’azienda è stata in grado di smontare pezzo per pezzo queste argomentazioni avendo dimostrato al giudice in primo luogo che le policy di accounting prevedono che l’utente deve obbligatoriamente inserire una propria password. Quindi l’amministratore può cambiarla, ma non conoscerla.

Dagli atti, non risulta che il dipendente infedele avesse richiesto un ripristino del proprio codice di accesso a seguito di interventi di terze parti. Anche la seconda tesi è stata rigettata, perché la posizione di computer e monitor era tale da non consentire a terzi di “curiosare”. Stessa sorte ha seguito la terza linea difensiva: siccome i criteri adottati dall’azienda per la generazione delle password prevedevano l’uso di una stringa da sei a trentadue caratteri, i giudici hanno ritenuto estremamente improbabile che qualcuno abbia potuto indovinare, due volte di seguito, la password del dipendente infedele.

Va sottolineato che l’azienda ha potuto giustificare con successo le proprie decisioni perché aveva adottato dei criteri corretti di gestione della propria infrastruttura IT. Se – come spesso accade nonostante le imposizioni della legge sui dati personali – le password fossero state gestite centralmente e fossero state note all’amministratore di sistema, lo “spazio di manovra” per “incastrare” il dipendente infedele sarebbe stato molto più ristretto. Rimane ora da capire come mai i giudici abbiano considerato giusta causa di licenziamento la “semplice”comunicazione di una password.

Scrive sul punto la sentenza: “Invero il comportamento del lavoratore si è concretato nella diffusione all’esterno di dati (le password personali) idonei a consentire a terzi di accedere a una grande massa di informazioni attinenti l’attività aziendale e destinate a restare riservate”, ricordando inoltre che la stessa Cassazione già da oltre dodici anni (sent. 2560/93) aveva ritenuto legittimo il licenziamento basato sulla sottrazione di dati aziendali. Su questo specifico punto, la Corte di Cassazione fornisce alle aziende una precisa indicazione: “La valutazione della proporzionalità della sanzione rispetto alla gravità della mancanza del lavoratore si risolve in un apprezzamento di fatto incensurabile in sede di legittimità ove sorretto da motivazione adeguata e logica”.

Tradotto, questo significa che per poter giustificare il licenziamento, l’azienda deve dimostrare che le informazioni sottratte erano riservate o comunque importanti. E questo è possibile solo se, a monte, la gestione della sicurezza aziendale evita l’approccio basato sulla “sicurezza di carta” e si concentra sulla creazione di regole chiare sia verso gli utenti-dipendenti, sia verso il patrimonio informativo dell’impresa.È uno strumento rivolto a quanti – avvocati, compagnie di assicurazione, magistrati – devono confrontarsi quotidianamente con le complesse problematiche del risarcimento dei danni fisici.

Il software, nelle varie release, è migliorato parecchio, specie per quanto riguarda la possibilità di generare testi automatici da inserire nella corrispondenza, negli atti o nelle sentenze. Va però ricordato che nessun software sostituisce la conoscenza della legge, e quindi l’uso di Re Mida richiede in ogni caso la conoscenza della materia. Non è particolarmente “affamato” di risorse, il che è un pregio considerato che gli operatori del diritto sono poco inclini a cambiare spesso computer. Vista l’utilità del programma, sarebbe auspicabile il porting sotto Linux e Mac Os X e l’evoluzione verso un modello client-server (anche locale) in modo da rendere più gestibile l’utilizzo concorrente. Re Mida è edito da Giuffré Editore, l’autore è Gianfranco D’Aietti.

Possibly Related Posts: