La condotta del bancario che acquisisce informazioni accedendo ai conti correnti dei clienti è illecita e comporta il suo licenziamento. Ciò è quanto ha stabilito la Cassazione.
Premessa
La condotta sottoposta al giudizio della Corte di cassazione attiene ad un ipotetico accesso abusivo ad una banca dati.
A tale proposito si richiama la legge 90/2024, rubricata“Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” che, fra l’altro, ha modificato l’art. 615-ter (“Accesso abusivo ad un sistema informatico o telematico”[1]) del Codice Penale; occorre anche rammentare che laddove si utilizzino le credenziali assegnate per svolgere attività su un database accedendo però a informazioni non pertinenti alle mansioni assegnate vi sarebbe un abuso del potere di accesso (agevolato dalla mancata segmentazione delle abilitazioni come invece richiederebbe il principio del “need to know”).
Il caso
A fronte di una serie di accessi commessi dal lavoratore, finalizzati alla consultazione di dati relativi a persone che non erano suoi clienti, la banca (datore di lavoro) aveva irrogato la sanzione espulsiva.
La decisione della Corte di Appello
Riguardo a tali accuse la Corte di Appello ha esluso la rilevanza del fatto, evidenz<iando che il lavoratore fosse titolare delle credenziali, e che quindi, per tale ragione, gl accessi non fossero abusivi e che gli stessi fossero avvenuti in tempi brevissimi, che non vertevano sulla lista movimenti. Inoltre, la Corte, sulla scotrta della documentazione prodotta dall’Istituto di Credito, dalla quale non era emersoi chiaramente cosa il lavoratore avesse effettivamente consultato, ha concluso che l’illecito “se vi è stato – deve essere considerato di particolare tenuità, con la conseguenza che la sanzione comminata, se fosse in sé legittima, risulterebbe del tutto spropositata”.
La sentenza della Corte di Cassazione[2]
La banca ha impugnato la sentenza del giudice di secondo grado davanti alla Corte di Cassazione ritenendo che non fosse stato dato giusto rilievo alla tutela dei dati personali dei clienti i cui conti erano stati visionati dal lavoratore, in assenza di ragioni di servizio.
La Cassazione riguardo all’accesso informatico aziendale ha chiarito che detto accesso non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibili a esigenze di servizio.
Così come risulta evidente che il potere di disporre di strumenti informatici volti al compimento delle operazioni finanziarie del dipendente di un istituto bancario non è di certo sinonimo di accesso indiscriminato a banche dati al di fuori della stretta necessità di compiere tali operazioni nell’interesse della banca e dei clienti.
L’accesso, privo di causa, deve essere valutato dal giudice di merito, in relazione al rapporto fiduciario tra datore e prestatore di lavoro, che concede l’utilizzo di tali strumenti ai propri dipendenti affinchè operino in maniera lecita durante la prestazione lavorativa, senza avvalersi delle potenzialità di conoscenza al di fuori delle strette esigenze lavorative.
Sulla scorta delle su esposte considerazioni la Corte di Cassazione ha ritenuto che il fatto, nella sua materialità non può essere considerato lieve, allorchè si concreti in una violazione degli obblighi di protezione dei dati personali soprattutto da parte di coloro che operano all’interno della banca.
In merito alla mancata affissione del codice disciplinare, anche per condotte come quelle in esame che confliggono con il minimo etico e norme di legge, essa non è necessaria quando la condotta del lavoratore costituisca violazione di norme di legge o di principi fondamentali di correttezza e buona fede, immediatamente percepibili dal dipendente come illeciti, poiché, in tali evenienze, questi non può non percepire ex ante che il proprio comportamento sia illecito e tale da pregiudicare anche il rapporto di lavoro in essere.
Nel caso di specie, l’accesso abusivo ai conti correnti di clienti e colleghi senza ragioni di servizio configura una grave violazione dell’obbligo di fedeltà e riservatezza, oltre che del codice in materia di protezione dei dati personali. Pertanto, il datore di lavoro non era tenuto ad affiggere un codice disciplinare che sanzionasse espressamente un comportamento evidentemente illecito.
Istruzioni per i titolari del trattamento
L’arresto della Cassazione consente di richiamare l’attenzione su una serie di aspetti da tradursi in adempimenti a carico dei titolari del trattamento:
- Redazione di una policy aziendale relativa all’utilizzo della strumentazione elettronica.
- Redazione di un codice disciplinare che, pur non regolamentando quanto stabilito da una norma, richiami il rispetto della normativa.
- Nomina di uno o più Amministratore di Sistema.
- Nota informativa per i dipendenti sulla presenza in azienda di sistemi di logging e di monitoring
- Formazione del personale in materia di: protezione dei dati e sicurezza delle informazioni; previsioni contrattuali; policy organizzative sulla governance dei dati;
- Attivazione di sistemi software di logging e di monitoring, dotati di sistemi di alert, con le seguenti finalità: a) registrazione degli eventi e delle attività, che possono riguardare sia le operazioni svolte sulle risorse IT, sia l’accesso a dati e documenti; b) monitoraggio continuo dei sistemi informatici per identificare comportamenti sospetti o problematici, tramite strumenti che rilevano pattern sospetti nei file di log, attività non autorizzate o altre anomalie; c) analisi degli eventi o comportamenti anomali identificati tramite il monitoring (quanto più automatizzato possibile).
Funzioni aziendali da coinvolgere.

[1] Art. 615-ter. (Accesso abusivo ad un sistema informatico o telematico)
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volonta’ espressa o tacita di chi ha il diritto di escluderlo, e’ punito con la reclusione fino a tre anni. La pena e’ della reclusione da uno a cinque anni:
1) se il fatto e’ commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita’ di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e’ palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanita’ o alla protezione civile o comunque di interesse pubblico, la pena e’, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto e’ punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
[2] Corte Suprema di Cassazione – Sezione Lavoro, R.G.N. 12549/2022; ordinanza n. 2806/25
[3] Formazione del personale in materia di: protezione dei dati e sicurezza delle informazioni; previsioni contrattuali; policy organizzative sulla governance dei dati.
[4] Con le seguenti finalità: a) registrazione degli eventi e delle attività, che possono riguardare sia le operazioni svolte sulle risorse IT, sia l’accesso a dati e documenti; b) monitoraggio continuo dei sistemi informatici per identificare comportamenti sospetti o problematici, tramite strumenti che rilevano pattern sospetti nei file di log, attività non autorizzate o altre anomalie; c) analisi degli eventi o comportamenti anomali identificati tramite il monitoring (quanto più automatizzato possibile.