All’esito di complesse attività d’indagine del Gruppo di lavoro sul cybercrime della procura di Napoli, volte a definire i contorni di un grave attacco alle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il Cnaipic del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della società, essendo gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali e, il secondo, del delitto di depistaggio.
Reato in concorso per l’impiegato di banca che chiede al collega l’invio di dati a cui non ha accesso per policy aziendale. La Quinta penale della Cassazione (sentenza 565/19) ha confermato la condanna alle sole statuizioni civilistiche (il reato era nel frattempo prescritto) per il dipendente di un grande gruppo bancario che si era fatto spedire da un collega “titolato” il file excel relativo alla posizione di un cliente importante. Il ricorrente, accusato di accesso abusivo a sistema informatico, aveva impugnato la decisione della Corte d’appello di Milano sostenendo che il semplice invio di una mail tra colleghi non può integrare il profilo oggettivo del reato contestato.
Costituisce accesso abusivo a sistema informatico quello praticato dal pubblico ufficiale che - pur utilizzando la propria password e la propria matricola meccanografica - non è autorizzato ad alcuna funzione operativa sul data base da cui estrae informazioni relative a terzi. L'agente può commettere il reato per assenza di potere se non è autorizzato o per sviamento di potere se il possesso delle chiavi di accesso ai sistemi consultati non era presupposto di alcuna autorizzazione a operarvi.
L'accesso alla banca dati denominata Sdi (Sistema D'Indagine del Ced del ministero dell'Interno) effettuato da appartenenti alle forze di Polizia per motivi non legati all'attività di repressione del crimine o di tutela dell'ordine pubblico determina il reato di accesso abusivo a sistema informatico nella forma aggravata perché commesso da pubblici ufficiali.
Integra il reato previsto dall'articolo 615-ter, comma 2, numero 1, del codice penalela condotta del pubblico ufficiale o dell'incaricato di un pubblico servizio che, pur essendo abilitato e pur non violando le prescrizioni formali impartite dal titolare di un sistema informatico o telematico protetto per delimitarne l'accesso, acceda o si mantenga nel sistema per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è attribuita.
Integra il reato di cui all'articolo 615-ter del Cp, la condotta di colui che accede abusivamente all'altrui casella di posta elettronica, trattandosi di uno spazio di memoria, protetto da una password personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni di altra natura, nell'esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. Lo dice la Cassazione con la sentenza 2 maggio 2019 n. 18284.
Se non prova la responsabilità del cliente, per dolo o imprudenza, è la banca a rispondere degli ammanchi causati da violazioni del sistema informatico. Rientra nel rischio professionale di chi gestisce i servizi di pagamento, infatti, adottare tutte le cautele possibili per evitare l’uso illecito dei codici di accesso da parte di terzi. Lo sottolinea la Corte d’appello di Firenze con la sentenza 1945 dell’8 settembre 2022.
Come noto l’articolo 32 del Regolamento UE 2016/679 (GDPR) prevede che il Titolare del trattamento debba mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio, al fine di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. Sotto il profilo della riservatezza dovrà, pertanto, proteggere il proprio sistema informatico con un sistema di credenziali e privilegi di accesso.
Il Responsabile del trattamento dati gode di un'autonomia propositiva nell'adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto da derivarne una specifica e diretta responsabilità nel caso di misure rilevatesi inadeguate. E' questo, in sintesi, il contenuto del recente provvedimento del Garante (n. 107 del 24 marzo 2022) con cui è stato sanzionato un responsabile del trattamento a causa dell'accesso abusivo al sistema informatico che gestiva per conto del Titolare.
È legittimo il licenziamento del ‘bancario' che si metta a curiosare tra i conti correnti dei Vip in assenza di qualsivoglia autorizzazione. Lo ha stabilito la Sezione Lavoro della Corte di cassazione, sentenza n. 34717/2021 rigettando il ricorso un addetto al servizio clienti della filiale Unicredit di Foggia. A seguito di una segnalazione da parte della Outgoing Foreign Payments Office di UBIS (società del gruppo UniCredit), la banca, avuto contezza del comportamento scorretto e dell'assenza di alcuna autorizzazione, aveva contestato al dipendente "l'accesso abusiv o o comunque non consentito, al sistema informatico della Banca per controllare decine di schede-cliente di personaggi dello spettacolo carpendone quindi i dati sensibili". E poi lo aveva licenziato.
