Una delle minacce più frequenti ed attuali per le imprese è rappresentata dalla sottrazione dei dati informatici conservati nei sistemi aziendali da parte del dipendente o ex dipendente.

Anche se si tratta di un aspetto che è molto spesso sottovalutato, i lavoratori di un’impresa hanno un accesso molto esteso ai sistemi informatici aziendali ed operano quotidianamente con i dati, personali e non, che costituiscono un vero e proprio bene intangibile dell’azienda.

Elenchi di clienti, listini commerciali, condizioni di fornitura, documenti protetti dal segreto industriale sono tra le tipologie più frequenti di informazioni che i dipendenti maneggiano quotidianamente nello svolgimento delle loro mansioni.

Il valore di questi dati, tuttavia, non è limitato all’ambito aziendale. Al contrario, queste informazioni possono essere estremamente preziose anche per persone estranee all’organizzazione. Ad esempio, i concorrenti potrebbero essere molto interessati a conoscere l’elenco dei clienti e le condizioni economiche loro applicate; oppure bande criminali potrebbero essere interessate ad impossessarsi dei loro dati personali per organizzare frodi informatiche a loro danno.

Quali sono i pericoli?

Proprio perché questi dati possono avere un grande valore, i dipendenti potrebbero essere tentati di approfittare della loro posizione per appropriarsene e trarre un vantaggio per sé.

Non è infrequente, ad esempio, la sottrazione dei dati sui clienti aziendali da parte del dipendente addetto al marketing che vuole cambiare lavoro, e che cerca di rendersi più attraente agli occhi del nuovo datore di lavoro promettendogli di portagli in dote una lista di potenziali clienti.

Oppure, il dipendente che vuole mettersi in proprio potrebbe farsi una copia di tutti i documenti aziendali che costituiscono il know-how dell’impresa (ad esempio modelli, progetti, contratti) e sfruttarli a proprio vantaggio nell’apertura della sua attività.

In altri casi, il dipendente infedele potrebbe essere pagato da estranei per creare delle copie non autorizzate dei dati aziendali.

Queste condotte, oltre a causare all’impresa un danno potenzialmente molto elevato, possono esporla a responsabilità nei confronti dei terzi. Ad esempio, gli interessati i cui dati personali siano stati rubati da un dipendente infedele potrebbero chiedere un risarcimento al Titolare del trattamento (il datore di lavoro) in base all’art. 82 GDPR. Oppure, i partner commerciali potrebbero contestare la violazione di accordi di riservatezza o di esclusiva.

Si tratta di fatti particolarmente gravi, che costituiscono dei veri e propri reati informatici, come abbiamo visto nell’introduzione generale alla nostra guida sui reati informatici in azienda. Vediamo dunque di seguito quali sono le ipotesi di reato che possono essere contestate al dipendente in caso di sottrazione dei dati aziendali e come può essere fatta valere la sua responsabilità.

Il reato di accesso abusivo ai sistemi informatici nel caso di sottrazione dei dati aziendali da parte del dipendente

Il furto dei dati informatici aziendali da parte del dipendente configura, di norma, il reato di accesso abusivo ai sistemi informatici, (art. 615 ter del codice penale).

Questo reato, infatti, punisce “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo”.

In altre parole, questo reato sussiste tutte le volte che una persona, a prescindere dal fatto che abbia o meno l’accesso ad un sistema informatico per ragioni di lavoro, vi accede “abusivamente”, oppure lo usi, restando al suo interno, in modo contrario alla volontà di colui che controlla il sistema.

La giurisprudenza penale ha interpretato l’espressione “accesso abusivo” in senso ampio, facendovi rientrare tutte le ipotesi in cui una persona utilizzi un sistema informatico in violazione delle istruzioni e delle regole previste da chi lo gestisce. In particolare, in ambito lavorativo, la Corte di Cassazione ha ritenuto che debba considerarsi abusivo l’uso del sistema informatico aziendale “che si ponga in contrasto con i doveri di fedeltà e lealtà che connotano anche il rapporto di lavoro”.

Questo reato può essere dunque contestato al dipendente che usa “abusivamente” il sistema informatico aziendale per creare delle copie non autorizzate dei dati contenuti.

Esempi di sottrazioni di dati che costituiscono accesso abusivo a sistema informatico

Ad esempio, la Corte di Cassazione penale ha ritenuto che la sottrazione dei dati aziendali da parte del dipendente costituisse questo reato:

  • nel caso di un dipendente che senza autorizzazione aveva estratto una copia dei dati contenuti nei sistemi aziendali e li aveva inviati alla propria casella di posta elettronica personale, girandoli ad un’altra persona (Sentenza n. 565/2019);
  • nel caso di un ex collaboratore di uno studio professionale che, prima di lasciare lo studio aveva estratto una copia di tutti i documenti informatici presenti nei sistemi aziendali (Sentenza n. 11994/2016).

La pena per il reato di accesso abusivo a sistema informatico

Il reato di accesso abusivo a sistema informatico è punito con la reclusione fino a tre anni, ma il reato può essere aggravato e quindi punto con una pena compresa tra 1 a 5 anni nel caso in cui venga commesso da un pubblico ufficiale, un incaricato di pubblico servizio o da un “operatore del sistema”, ossia un soggetto autorizzato ad utilizzare il sistema informatico, ad esempio per motivi di lavoro.

La sottrazione di dati aziendali da parte del dipendente, se costituisce un’ipotesi aggravata del reato di accesso abusivo a sistema informatico (come detto sopra), può essere punita d’ufficio e non è dunque necessario che il proprietario del sistema sporga querela entro tre mesi dalla scoperta del fatto.

La persona offesa dal reato può costituirsi parte civile nel processo per ottenere il risarcimento del danno causato dal reato.

La responsabilità del concorrente

Il reato di accesso abusivo a sistema informatico è uno dei reati per i quali il d.lgs. n. 231/2001 prevede la responsabilità degli enti. Ciò significa che, qualora il reato sia commesso nell’interesse di un ente o di una società, anche quest’ultima sarà considerata responsabile insieme all’autore materiale del fatto. Ciò significa che, in certi casi, della sottrazione di dati da parte di un ex dipendente potrebbe essere chiamato a rispondere anche il nuovo datore di lavoro. Della responsabilità del datore di lavoro per i reati informatici commessi dal dipendente, abbiamo parlato qui.

Sottrazione dei dati aziendali da parte del dipendente. Quando è appropriazione indebita?

Una recente sentenza della Corte di Cassazione penale ha aperto la strada ad una punizione più severa della condotta del dipendente che sottrae i dati aziendali, affermando che possa essere punita anche come appropriazione indebita ai sensi dell’art. 646 del codice penale.

Commette questo reato la persona che “si appropria” del denaro o di altra cosa mobile altrui “di cui abbia a qualsiasi titolo il possesso” con il fine di “procurare a sé o ad altri un ingiusto profitto”.

In altre parole, commette questo reato chi, essendo in possesso di una cosa di altri (ad esempio, la custodisca per ragioni di lavoro) se ne appropri con lo scopo di conseguire un vantaggio patrimoniale.

In un recente caso, la Corte di Cassazione ha ritenuto che questo reato potesse essere contestato nei confronti di un dipendente che, possedendo sul proprio pc aziendale dei dati dell’impresa, se ne fosse appropriato prima di lasciare il posto di lavoro, copiandoli su un proprio dispositivo privato e cancellando la copia presente sul dispositivo aziendale (Sentenza n. 11959/2020).

A differenza del caso di accesso abusivo a sistema informatico, in questo caso il dipendente non si era limitato a farsi una copia dei dati informatici presenti nei sistemi aziendali, ma aveva eliminato tutte le copie alle quali il datore di lavoro poteva accedere. Proprio per questo, la Corte di Cassazione ha ritenuto che il dipendente si fosse “impossessato” dei dati aziendali che deteneva per ragioni di lavoro, avendoli fatti propri e avendo impedito al legittimo titolare delle informazioni ogni possibilità di accesso.

Ipotesi di appropriazione indebita di dati

Questa sentenza, che rappresenta un caso ancora isolato (e che ha affermato in modo espresso per la prima volta che i dati informatici possono essere qualificati come “cosa mobile”) rappresenta un importante precedente per la tutela dei dati aziendali.

Secondo i principi affermati da questa sentenza, la sottrazione dei dati aziendali da parte del dipendente può costituire il reato di appropriazione indebita se:

  • era in possesso dei dati informatici (ad esempio, perché presenti in dispositivi/account aziendali dei quali aveva l’accesso esclusivo);
  • se ne è “appropriato” dei dati informatici (ad esempio, copiandoli su dispositivi personali e cancellando ogni copia su dispositivi aziendali);
  • lo ha fatto per procurare profitto ingiusto a sé o ad altre persone (ad esempio, per sfruttare economicamente i dati).

La pena per il reato di appropriazione indebita

La pena per il reato di appropriazione indebita, infatti, è più elevata di quella di accesso abusivo a sistema informatico, essendo punita con la reclusione da due a cinque anni e con la multa da euro 1.000 a euro 3.000.

Il reato è sempre procedibile a querela della persona offesa (ovvero del proprietario dei dati sottratti), che deve essere presentata entro tre mesi dal giorno in cui ha notizia del fatto che costituisce il reato.

Il furto di dati aziendali

Infine, va segnalato come una sentenza isolata della Cassazione penale ha qualificato come furto la condotta dell’ex collaboratore che, prima di lasciare lo studio associato in cui svolgeva la propria attività, aveva copiato tutti i dati informatici presenti nel server dello studio, eliminando la copia presente (Sentenza n. 32383/2015)

Quel comportamento era stato qualificato come furto perché l’ex collaboratore si era impossessato della cosa altrui (i dati dello Studio), sottraendola all’associazione professionale che la deteneva nei propri sistemi informatici e con lo scopo di trarre un profitto per sé.

In questo caso, il collaboratore non era già in possesso di quei dati (in quanto si trovavano sui server dello studio e non su uno spazio di archiviazione al quale aveva l’accesso esclusivo), ma se ne era impossessato in occasione della creazione della copia dei dati, privando al contempo l’associazione professionale della possibilità di accedervi (e così, “spossessandola” di quei dati).

Se commesso da un dipendente, questo reato è aggravato.

La pena prevista è la reclusione da sei mesi a tre anni e la multa da euro 154 a euro 516 e si procede d’ufficio.

Concorso di altri reati nel caso di sottrazione dei dati aziendali da parte del dipendente

Come si è visto, il dipendente commette un reato per il solo fatto di sottrarre abusivamente una copia dei dati conservati nei sistemi aziendali.

Tuttavia, oltre ai reati di accesso abusivo, appropriazione indebita o furto, la condotta del dipendente potrebbe violare anche altre norme penali e quindi dare luogo ad un “concorso” di più reati.

Ad esempio, nel caso di cancellazione o alterazione dei dati che porti al malfunzionamento del sistema informatico aziendale, la condotta del dipendente potrebbe essere punita anche come danneggiamento di sistema informatico.

Ancora, se tra i dati oggetto della sottrazione vi sono anche password e credenziali di accesso, il dipendente potrebbe essere condannato anche per il reato di detenzione o diffusione abusiva di codici di accesso.

Infine, nel caso in cui la persona intervenga illegittimamente sui dati così raccolti per conseguire a proprio vantaggio un ingiusto profitto, può configurarsi anche il reato di frode informatica.

Per riassumere

Come si è visto, la sottrazione dei dati aziendali da parte del dipendente è un fatto particolarmente grave che può essere punito come reato.

Normalmente, se il dipendente si limita a trafugare una copia dei dati, mantenendo inalterate le copie presenti sui sistemi aziendali, questa condotta costituirà il reato di accesso abusivo a sistema informatico.

Qualora, invece, il dipendente si spinga a cancellare la copia dei dati presente sui dispositivi o sui sistemi aziendali, potrebbe essere contestato il più grave reato di appropriazione indebita o furto.

Se il dipendente, oltre a sottrarre una copia dei dati aziendali, commette anche altre azioni illecite, come rendere inutilizzabili i sistemi aziendali o diffondere ad estranei le credenziali di accesso, a questi reati se ne possono aggiungere altri, aggravando la pena.

Trattandosi di un fatto potenzialmente dannoso per l’azienda, non ci si deve tuttavia affidare alle tutele del diritto penale, che intervengono infatti solo dopo che il fatto è stato compiuto ed il danno causato. È importante tutelarsi in modo attivo, adottando misure tecniche e di sicurezza adeguate, ad esempio con sistemi in grado di limitare o segnalare tempestivamente il caso in cui siano fatte copie anomale dei dati conservati nei sistemi aziendali.