Diritto e informatica forense

La responsabilità del dipendente in caso di attacco informatico di Benedetto Fucà*

La responsabilità del dipendente in caso di attacco informatico di Benedetto Fucà*

Abstract - Secondo uno studio dell’Osservatorio Cyber Security e Data Protection del Politecnico di Milano, Il 2020 è stato uno dei peggiori anni in termini di crescita di attacchi informatici. Molte aziende hanno dovuto continuare ad erogare servizi, facendo lavorare il proprio personale dentro le proprie case. I dipendenti sono diventati il target principale d’attacco. In questo articolo si va ad analizzare la responsabilità di un dipendente qualora utilizzasse i dispositivi, messi a disposizione dall’azienda, per fini personali.

*  Business Analyst - Laurea in Giurisprudenza e Master in Cyber security - Digital Forensic & Computer Crime

La pandemia ha accelerato un processo che vede nell’innovazione, e in particolar modo nella sicurezza informatica, lo strumento per coniugare il nuovo modello nel mondo del lavoro. Infatti, le aziende hanno dovuto fare conti con il ricorso allo smart working che ha comportato un livello maggiore di sicurezza informatica.

Questa è diventata sempre più vitale per garantire che il perimetro di sicurezza aziendale non venisse violato. In particolar modo è stato necessario permettere ai lavoratori di esercitare le proprie mansioni anche da casa. In alcune realtà strutturate, questa modalità di lavoro è diventato l’ordinario anche in uno scenario a medio periodo, fuori dall’emergenza pandemica.

Tuttavia, è necessario comprendere la responsabilità del lavoratore, laddove un attacco riuscisse per colpa anche del lavoratore. Secondo uno studio dell'“Osservatorio Cyber Security e Data Protection” del Politecnico di Milano, il 2020 è stato uno dei peggiori anni in termini di crescita degli attacchi informatici, difatti questi nell'ultimo anno sono aumentati di circa il 40%[1]. Un dato che, per l’appunto, va letto nel contesto di pandemia globale è il ricorso alla modalità dello smart working. Tutto ciò ha reso le aziende più esposte a tali minacce. Si considera, inoltre che questo dato che risulta essere più basso delle stime reali, sempre secondo lo studio citato, si presume che gli attacchi subiti dalle aziende siano quattro volte superiori a quanto dichiarato. Un dato allarmante che fa riflettere, sulla portata degli attacchi. Il motivo di questa sfasatura starebbe nel fatto che le aziende tendono a non denunciare l’attacco.  Sempre secondo lo studio, si stima che ogni undici secondi viene portato avanti un attacco cyber.

In questo contesto, le aziende devono attrezzarsi per realizzare una consapevolezza allorquando si ricorra allo smart working. Alcune azioni positive, che le aziende possono attuare, sono: redazione di policy e procedure, corsi di formazione per i dipendenti, comunicazioni. Da parte dei dipendenti è necessario un utilizzo consapevole dei dati da trattare per motivi di lavoro. In questo senso tocca comprendere quando si configura la responsabilità del dipendente qualora un attacco informatico si realizzasse a causa di un utilizzo non corretto e che allo stesso tempo non sia in linea con le mansioni che lo stesso deve svolgere.

Per non parlare del caso eventuale in cui il dipendente collabori fattivamente alla realizzazione dell’attacco (sia prendendo parte ad esso, sia collaborando esternamente con gli attaccanti), situazione che si configura quale condotta dolosa che può essere inquadrata negli articoli 615 ter[2] (accesso abusivo a sistema informatico) e 617 quater[3] (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche) del Codice penale e che, pertanto, delinea una responsabilità penale del lavoratore oltre a quella civile ordinaria e lavorativa che può avere ulteriori risvolti.

Il lavoratore che non rispetta le indicazioni date dall’azienda su un utilizzo corretto degli end point cosa rischia? La Corte d’Appello di Roma, con sentenza dell’ 11 marzo 2019[4] ha riconosciuto la legittimità del licenziamento di una lavoratrice, la quale aveva impugnato il licenziamento disciplinare per giusta causa mediante ricorso al rito Fornero (Legge n. 92 del 2012) chiedendo la reintegra previa declaratoria di illegittimità del provvedimento espulsivo. Il Tribunale di Roma, con ordinanza del 23 marzo 2017 del lavoro  ha respinto la domanda della lavoratrice, la quale ha poi fatto ricorso per l’appunto in Corte d’Appello.

La lavoratrice era stata licenziata dalla Fondazione presso cui lavorava, perché ritenuta responsabile di aver eseguito numerosi accessi alla posta elettronica personale e a siti non pertinenti all’attività lavorativa. Questa condotta aveva comportato che il proprio endpoint contraesse un virus di tipo ransomware che poi si è diffuso su tutta la rete dell’azienda, comportando la criptazione di buona parte dei file presenti in essa.

La fattispecie in esame, si inquadra perfettamente nel quadro della responsabilità del lavoratore che per una condotta non in linea con gli obblighi del rapporto di lavoro, ha generato un danno all’organizzazione tale da rendere inutilizzabili i file e i dati contenuti nella rete aziendale. Una situazione disastrosa per la Fondazione che ha dovuto effettuare una verifica ex post sul computer in utilizzo alla lavoratrice; mediante questa verifica è stato possibile scoprire l’utilizzo personale del computer dato in dotazione.

 L'Autorità Garante per la Protezione dei Dati Personali, pronunciandosi sul ricorso presentato ex art. 145 D.Lgs. n. 196 del 2003 dalla stessa lavoratrice, aveva ordinato all’organizzazione (nella fattispecie una Fondazione) di astenersi dall'effettuare qualsiasi ulteriore trattamento dei dati acquisiti dalla cronologia del browser Google Chrome del computer aziendale in uso alla ricorrente e relativi al periodo 16.10.2015 - 16.11.2015 "...eccettuata la mera conservazione degli stessi ai fini della loro eventuale acquisizione da parte giudiziaria..."

Invero tali controlli, secondo il Garante, sarebbero in violazione degli artt. 4, comma 2, e 38, della L. 20 maggio 1970, n. 300 anche dagli artt. 114 e 171 del d.lgs. n. 196/2003, ponendo il divieto di controlli a distanza sui lavoratori.

La posizione della Corte d’Appello di Roma, si pone in contrasto con quanto statuito dal Garante, rigettando l’appello della lavoratrice. Riconoscendo l’illegittimità della violazione dell’articolo 4 della legge 300/1970. Secondo la Corte, infatti “l’applicazione è esclusa invece quando i comportamenti illeciti dei lavoratori non riguardino l'esatto adempimento delle obbligazioni discendenti dal rapporto di lavoro, ma piuttosto la tutela di beni estranei al rapporto stesso, secondo un non sempre agevole bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle irrinunziabili tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto”.

Pertanto, la decisione della Corte d’Appello di Roma ha confermato quanto già deciso dal Tribunale di primo grado, confermando il licenziamento della lavoratrice da parte della Fondazione presso cui essa lavorava per giusta causa, derivante dall’utilizzo non corretto del computer che ha comportato l’infiltrazione del ransomware che propagatosi sulla rete della Fondazione, ne ha causato la criptazione dei file e dei dati contenuti in essa.

Alla luce di questa sentenza appare evidente che nell'utilizzo degli endpoint dati in dotazione ai lavoratori deve esserci, da parte di quest'ultimi, una responsabilizzazione nonché un rispetto degli obblighi lavorativi previsti dal contratto e dalle policy interne. Infatti, come si è analizzato all'interno della vicenda citata, talune leggerezze possono avere conseguenze gravi. Se da un lato le organizzazioni possono, attraverso corsi, esercitazioni oppure stress test, aiutare a far conoscere e a creare quella consapevolezza nei propri dipendenti riguardo le minacce informatiche, altresì è vero che sia cura dei dipendenti avere un atteggiamento professionale nell’utilizzo degli endpoint.

In questo contesto lo smart working, diventa uno scenario entro cui gli attaccanti sanno che i dipendenti, lavorando da casa possono abbassare la guardia, e che pertanto quest’ultimi diventano il target più facili a cui mirare per poter entrare all’interno di una rete aziendale. Come si è visto, le conseguenze per i dipendenti però possono costare la perdita del posto di lavoro.


Si riporta una breve e non esaustiva tabella delle principali tipologie d’attacco e delle azioni che le aziende possono introdurre per mitigare le possibilità di subirle.

 matrice attacco

 

[1] Fonte: https://www.ansa.it/sito/notizie/tecnologia/hitech/2021/02/03/nel-2020-aumento-attacchi-cyber-per-il-40-delle-imprese_6def5d79-64b9-4697-b3e1-a48e32a34d03.html

[2] Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

[3] Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

 

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di investigatore privato.

[4] Testo della sentenza consultabile al seguente link: https://images.go.wolterskluwer.com/Web/WoltersKluwer/%7B04043d6c-ebe1-4870-86c9-57c2c7d8c45c%7D_corte-di-appello-roma-sezione-lavoro-sentenza-22-marzo-2019.pdf

RIFERIMENTI

logo icted

ICTEDMAGAZINE

Information Communicatio
Technologies Education Magazine

Registrazione al n.157 del Registro Stam­pa presso il Tribunale di Catanzaro del 27/09/2004

Rivista trimestrale  

Direttore responsabile/Editore-responsabile intellettuale

Luigi A. Macrì