Stefano Gazzella : 27 Luglio 2023 09:51
Gli strumenti di collaborazione e condivisione di file in cloud sono largamente diffusi nei rapporti di lavoro e di business, pertanto il loro impiego deve essere correttamente disciplinato. Come? Andando a chiarire, gestire e controllare ruoli e responsabilità dei soggetti che intervengono, regolandone i privilegi di conseguenza. Aspetti che se sottovalutati, o peggio omessi, sono idonei a generare effetti che impattano non solo sull’ambito della sicurezza informatica ma anche in relazione ai rischi legali.
Alcuni esempi possono essere conseguenze di tipo amministrativo, civile e penale quali:
Ed è stato proprio nel cassare con rinvio una condanna in sede penale per accesso abusivo a sistema informatico che la V sezione penale della Cassazione ha accolto il ricorso di due ex dipendenti (sent. n. 27900 del 29 giugno 2023) condannati nei due precedenti gradi di giudizio, indicando quali elementi devono essere presi in considerazione per valutare oggettivamente questo specifico ambito di rischi legali. E beninteso, la situazione di incertezza che riguarda – come in questo caso – la titolarità di uno spazio di archiviazione cloud condiviso produce un rischio tanto in capo ai dipendenti che potrebbero trovarsi a vedersi contestata la commissione di un reato, quanto in capo all’organizzazione che potrebbe non essere in grado di mantenere il controllo dei file condivisi.
Nel caso preso in esame dalla sentenza richiamata, l’accesso abusivo è stato contestato in seguito alla modifica, successiva al licenziamento, dell’indirizzo aziendale associato all’account Dropbox attraverso il quale i dipendenti erano soliti condividere temporaneamente alcuni files di lavorativi.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Per effetto di tale operazione, ovviamente, l’ufficio tecnico aziendale non era più in grado di accedere a quell’ambiente di lavoro condiviso il quale veniva collegato ad una nuova società costituita dai due ex dipendenti.
Stando alle difese presentate, l’account risultava essere un’utenza di tipo free e non business creata spontaneamente dai dipendenti e posta da loro a disposizione dell’azienda fino al momento del licenziamento senza alcun successivo trasferimento di dati né informazioni.
Appare incontestato, infatti, che lo spazio venne creato dagli imputati per facilitare la loro attività lavorativa (…) e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda.
Inoltre, i ricorrenti rilevano che l’indicazione della proprietà suggerita dalle condizioni d’uso di Dropbox è la seguente:
Per impostazione predefinita, sei il proprietario di tutte le cartelle condivise che crei, a eccezione delle sottocartelle create all’interno di cartelle condivise altrui. Tuttavia, puoi trasferire la proprietà a un altro membro cambiando le autorizzazioni di condivisione della cartella principale.
La condivisione, ovviamente, in seguito alla risoluzione del rapporto di lavoro e la creazione di una nuova società non aveva più ragion d’essere e dunque tutto ruota attorno alla disponibilità o meno dello spazio di archiviazione con conseguente possibilità di regolarne gli accessi. Dal momento che infatti è indubbia la qualificazione di domicilio informatico di uno spazio cloud condiviso, l’accesso abusivo può essere realizzato solo con una condotta o in violazione di prescrizioni formali o altrimenti ontologicamente estranea rispetto a quella per cui la facoltà di accesso è stata attribuita.
Le indicazioni fornite dalla S.C. a riguardano pertanto l’individuazione dei ruoli:
al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui
si discute sia o meno sorretta da idonea motivazione, attiene all’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio Dropbox creato (…) ovvero a chi appartenesse tale spazio virtuale
nonché l’utilizzo accettabile:
diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio Dropbox applicabile in concreto quando venne operata la suddetta modifica.
Pertanto, in assenza di disciplinare d’impiego, o qualsivoglia altra indicazione aziendale che regolamenti tale ambiente di lavoro entro un perimetro di proprio dominio, il reato diventa difficilmente configurabile. Non è sufficiente una generica approvazione del sistema di condivisione senza neanche aver conoscenza né controllo del software installato.
Insomma, la vicenda è destinata a trovare un chiarimento all’interno di un nuovo giudizio. Molto però si sarebbe ben potuto evitare agendo preventivamente con una disciplina d’impiego accettabile della strumentazione informatica e relativo controllo.