Licenziato chi visiona e preleva dati personali altrui accedendo al database aziendale per finalità diverse da quelle lavorative
Con la sentenza n. 28887 depositata il 1° novembre 2025, la Corte di Cassazione ha ribadito un principio ormai consolidato riguardante l’accesso abusivo a sistema informatico, aggiungendo, però, la rilevanza della violazione del codice di comportamento del pubblico dipendente, del codice di condotta interno all’azienda e dall’art. 64 ccnl di comparto con sanzione espulsiva prevista dall’articolo 18, comma 8.
Una dipendente di una Azienda Ospedaliera Universitaria è stata licenziata per aver eseguito 30 accessi illeciti alla banca dati dei fascicoli sanitari elettronici, consultandoli senza alcuna giustificazione o ragione di servizio. Anzi, in taluni casi l’accesso ha riguardato i fascicoli di persone, segnatamente i suoi vicini di casa, con le quali la donna aveva in corso controversie giudiziarie.
Il Tribunale ha ritenuto legittimo il massimo provvedimento disciplinare, confermato anche dalla Corte di Appello. Ciò nonostante, la donna ha inteso ricorrere anche dinanzi la Suprema Corte.
Secondo i giudici, però, “l’accesso al sistema informatico aziendale non può essere considerato lieve quando realizzato per finalità personali o comunque non riconducibili a esigenze di servizio” e, per tale ragione, il comportamento è da ritenersi di gravità tale da non consentire la prosecuzione neppure provvisoria del rapporto di lavoro, potendosi così ritenere proporzionata la massima sanzione disciplinare.
Infatti, la violazione di cui all’articolo 615ter c.p., hanno ribadito gli Ermellini, si configura tutte le volte che un soggetto acceda ad un sistema informatico per fini diversi da quelli per i quali gli è stato facoltizzato l’accesso.
Ciò significa che a nulla rileva la conoscenza della password da parte dell’agente per averla ricevuta dall’interessato – il quale gli avrebbe quindi fornito una implicita o esplicita autorizzazione – qualora la condotta incriminata porti ad un esito certamente in contrasto con la volontà del titolare della banca dati. Con tale comportamento si ottiene infatti un risultato che non coincide con la volontà del suddetto, e che è esorbitante rispetto a qualsiasi possibile ambito autorizzatorio, vale a dire la conoscenza di informazioni riservate e dati personali sensibili.
Allo stesso modo, del tutto ininfluente è la motivazione che giustificherebbe la conoscenza e l’utilizzo delle informazioni così acquisite.
Il reato, insomma, si configura non soltanto quando il colpevole violi le misure di sicurezza poste a presidio del sistema informatico, ma anche quando, pur legittimato all’accesso per ragioni di servizio, vi si mantenga, ovvero consulti o utilizzi le informazioni, per ragioni diverse da quelle di servizio, uniche circostanze per le quali era stato inizialmente autorizzato all’ingresso.
La responsabilità dell’agente – già definita da una costante giurisprudenza penale (cfr. Cassazione 34141/2019, Cassazione 2905/2019, cfr. Cassazione 52572/2017), ed avvalorata dalle SS.UU. che con la sentenza 41210/2017 hanno valorizzato contra reum forzatura dei limiti dell’autorizzazione concessa dal titolare del domicilio informatico da parte di soggetto autorizzato ad accedervi – è stata quindi ribadita con la pronuncia in questione.
