Una sentenza della Cassazione penale conferma che è reato usare l’accesso da amministratore per attività non autorizzate e che l’email è “corrispondenza” giuridicamente tutelata di Andrea Monti – Inizialmente pubblicato su La Repubblica-Italian Tech
Il “sistemista” di un’azienda —e, ovviamente, di una pubblica amministrazione— non può fare quello che vuole sui dati dipendenti ma deve limitarsi ai compiti assegnati dal datore di lavoro. Nel caso particolare dei controlli, poi, nemmeno potrebbe procedere anche in presenza di un ordine, se i dipendenti non sono stati informati del come e del perché questo potrebbe accadere.
Anche se l’ente può eseguire controlli all’insaputa degli utenti, deve avere una buona ragione per farli ma deve evitare attività inutilmente invasive e generalizzate.
Prendere conoscenza del contenuto di email altrui la cui consultazione richiede l’uso di credenziali di autenticazione nell’ambito di controlli non autorizzati costituisce il reato di violazione di corrispondenza.
Questi, in sintesi, i principi di diritto enunciati dalla quinta sezione penale della Corte di cassazione con la sentenza 23158/25 depositata lo scorso 20 giugno 2025.
Una sentenza non particolarmente innovativa
A stretto rigore, la decisione non è particolarmente innovativa perché ribadisce orientamenti precedenti contenuti in altre sentenze, ma soprattutto perché non fa altro che interpretare correttamente norme esistenti da tempo: quella sul cracking dei sistemi— che esiste dal 1993— e quella sulla tutela della corrispondenza.
La prima, infatti, punisce non solo chi prende abusivamente il controllo di una workstation o di un server ma anche chi, dotato dei privilegi di amministrazione, li usa andando oltre i compiti che gli sono stati affidati o per altri motivi. Dunque, non importa se l’azione è conseguenza di una scelta individuale motivata da interessi personali, di un ordine di servizio illecito, o peggio, di una richiesta “ufficiosa” di un superiore gerarchico o del titolare dell’ente.
La seconda, presente da sempre nel codice penale, sanziona chi “prende cognizione del contenuto di una corrispondenza chiusa a lui non diretta”.
La consultazione non autorizzata delle email altrui è l’incubo che turba i sonni degli utenti fin dall’epoca pre-internet, quando nelle reti Fidonet nacque e si sviluppò il dibattito sull’importanza della privacy nella comunicazione elettronica interattiva e sul ruolo della crittografia. Solo successivamente questi temi vennero presi in considerazione nell’ambito accademico e poi in quello giudiziario. A questo proposito è alquanto singolare che dopo trent’anni si debba ancora discutere dell’ovvio, e cioè se un’email —al pari dei messaggi scambiati tramite sistemi di instant messaging come Whatsapp— possa rientrare nel concetto di “corrispondenza” giuridicamente tutelata.
La triangolazione impossibile fra tutela dei beni aziendali, doveri di controllo e tutela della dignità e della riservatezza
Con questa sentenza la Cassazione cerca di contribuire alla convergenza di tre aspetti fondamentali dell’operatività di un’azienda: il dovere di prevenire atti illeciti dei dipendenti, quello di proteggere i beni aziendali da comportamenti illeciti dei dipendenti e quello dei dipendenti di non essere trasformati nei classici “pesci rossi nella boccia di vetro”.
“La giurisprudenza di questa Corte” si legge nella decisione “ha affermato che in tema di cd. sistemi difensivi, sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.
Dalla teoria alla pratica
Sulla carta le indicazioni sono chiare, ma nei fatti sono molto meno facilmente applicabili da chi volesse usare la sentenza come base per gestire la propria organizzazione limitando il rischio di violare i diritti dei dipendenti e quello di non tutelare i beni aziendali.
È vero che le sentenze —e a maggior ragione i provvedimenti o i comunicati delle autorità indipendenti— non possono essere prese come precedenti vincolanti. È anche vero, tuttavia, che i principi di diritto enunciati nelle singole decisioni sono un supporto importante per chi deve decidere come gestire la propria struttura nel rispetto della legge.
In primo luogo, anche solo empiricamente, l’uso delle risorse di comunicazione aziendali anche per questioni private è un (mal)costume molto diffuso, e incoraggiato dalla tendenza a “chiudere un occhio” sulla violazione di policy che, magari, vietano con chiarezza un comportamento del genere. Allo stesso modo, le regole interne di comportamento relative ai controlli sui sistemi informativi sono, dalla prospettiva del datore di lavoro, spesso generiche e, da quella dei dipendenti, sottovalutate se non addirittura ignorate.
Sarebbe complesso spiegare le ragioni di questo “patto non scritto” essenzialmente basato sull’assunzione che il problema verrà affrontato se e quando si dovesse presentare. Ma come dimostra questa sentenza, la mancanza di regole chiare e della loro effettiva applicazione può generare una responsabilità penale anche di chi compie materialmente le azioni.
Il convitato tecnologico di pietra
Anche se il tema della natura tecnologica dei controlli e quello dei modelli di gestione della sicurezza non sono stati oggetto della sentenza, è necessario rilevare che i principi ribaditi dalla decisione sono difficilmente applicabili alle esigenze di protezione dei sistemi informativi e dei dati che tramite questi sistemi vengono gestiti.
Negli ultimi anni, infatti, le strategie di protezione si sono orientate verso la prevenzione degli incidenti o degli attacchi sul presupposto che anche la semplice interruzione temporanea della continuità operativa per il tempo necessario a ripristinare la funzionalità di dati e servizi è un costo che istituzioni e aziende non possono permettersi. Senza parlare, poi, del fatto che nelle infezioni da ransomware o da infostealer —sistemi che “rubano” credenziali— quanto prima si riesce a rilevare l’attività del virus, tanto più si può bloccare quantomeno l’esfiltrazione dei dati. Da qui la necessità di rilevare con estremo anticipo gli indicatori di un attacco.
È a questo punto che l’orientamento consolidato espresso dalla sentenza e una certa lettura del regolamento sulla protezione dei dati personali (GDPR) mostrano i propri limiti: prevenire significa, innanzi tutto, controllare in tempo reale e, in tempo reale, analizzare i risultati per individuare quanto prima il POC (Point of Compromise), l’ “utente zero” il cui computer è stato compromesso.
Da tempo il mercato della sicurezza offre servizi che costruiscono una sorta di “rumore di fondo” generato dalla rete (per esempio, tempi e modi dell’utilizzo da parte dei singoli client, tipo di traffico, risorse esterne accedute) per poi rilevare eventi che di quel rumore di fondo non fanno parte. È vero che, ancora una volta sulla carta, fino a quando questi sistemi non eseguono controlli mirati sono legittimamente utilizzabili, ma è anche vero che il loro modo di funzionare richiede, a un certo punto, di individuare il o i singoli punti di compromissione. Quindi, a tutto voler concedere, il loro utilizzo sarebbe quantomeno problematico anche volendo interpretare con la massima estensione possibile la giurisprudenza e il GDPR.
L’impatto della direttiva NIS2 sulle infrastrutture critiche
L’entrata in vigore della normativa sulle infrastrutture critiche aggiunge un ulteriore livello di complessità a questo scenario perché la prevenzione diventa un obiettivo da perseguire anche nell’interesse pubblico e non più solo di quello dei datori di lavoro e dei dipendenti.
Il pericolo concreto, dunque, è che una gestione estesa della sicurezza basata sulla prevenzione possa essere considerata in violazione dei diritti dei dipendenti, mentre un approccio meno pervasivo possa rappresentare una violazione —per i soggetti coinvolti—degli obblighi derivanti dall’essere qualificati come “infrastruttura critica”, fornitore di servizi essenziali o una qualsiasi delle altre categorie previste dalla normativa.
Una proposta di soluzione
Una possibile via d’uscita a questo apparente paradosso operativo sarebbe quella di distinguere le conseguenze del ricorso a sistemi di sicurezza preventiva.
Si potrebbe stabilire che il loro impiego e utilizzo siano possibili senza bisogno di autorizzazioni e consensi (magari con una semplice comunicazione alle autorità competenti), ma che, nello stesso tempo, i risultati generati da questi sistemi non possano essere usati per adottare provvedimenti disciplinari o comportamenti discriminatori nei confronti dei dipendenti.
In questo modo, fermi restando i principi espressi dalla giurisprudenza della Corte di cassazione, entrambe le parti —datore di lavoro da un lato e dipendenti dall’altro— potrebbero essere adeguatamente tutelati da comportamenti impropri, abusi e atti illeciti senza compromettere la sicurezza delle infrastrutture.
A stretto rigore non sarebbe necessario emanare una norma che preveda esplicitamente questa ipotesi perché con uno sforzo interpretativo delle norme vigenti si potrebbe ugualmente raggiungere l’obiettivo. Una soluzione del genere, tuttavia, potrebbe essere non accolta innanzi tutto dalle autorità indipendenti e dalle pubbliche amministrazioni coinvolte e dunque rischierebbe di dover passare attraverso un calvario giudiziario che potrebbe arrivare fino alla Corte europea di giustizia. Dunque, almeno per una volta, una “nuova legge” sarebbe la soluzione più opportuna.
Possibly Related Posts:
- Una foto che meglio di ogni altra racconta cosa sta avvenendo sui nostri cieli
- Giappone, il confine tra difesa e guerra cyber si assottiglia molto nella nuova legge sulla sicurezza informatica
- Meta potrà usare i dati degli utenti per addestrare l’IA: cosa dice la sentenza tedesca
- La nuova legge sull’IA del Giappone ha qualcosa da insegnare a Usa e Ue
- Svolta del Tribunale di Milano: pubblicare le foto dei figli minorenni può essere reato