L’uso improprio delle credenziali aziendali può costare il posto di lavoro. Una recente sentenza della Corte di Cassazione ribadisce la linea dura contro chi accede ai dati per fini non legati al servizio.
Il caso: accessi illeciti ai fascicoli sanitari
Con la sentenza n. 28887 del 1° novembre 2025, la Corte di Cassazione ha confermato il licenziamento di una dipendente di un’Azienda Ospedaliera Universitaria che aveva effettuato 30 accessi non autorizzati al sistema informatico aziendale.
La donna aveva consultato i fascicoli sanitari elettronici di soggetti estranei alla propria attività lavorativa, tra cui alcuni vicini di casa con cui era coinvolta in controversie giudiziarie.
La condotta è stata qualificata come accesso abusivo a sistema informatico, reato previsto dall’art. 615-ter del Codice penale, oltre che come grave violazione del codice disciplinare e del codice di condotta aziendale.
Il principio ribadito dalla Cassazione
Secondo la Suprema Corte, l’accesso al sistema informatico aziendale è legittimo solo se riconducibile a finalità di servizio.
L’uso delle credenziali per scopi personali costituisce abuso, anche se l’utente è formalmente autorizzato ad accedere al sistema.
La Cassazione ha chiarito che il reato di accesso abusivo a sistema informatico si configura anche quando non vi è violazione delle misure di sicurezza: è sufficiente che l’agente superi i limiti dell’autorizzazione concessa.
In questo senso, la conoscenza delle password o il consenso implicito non giustificano la condotta, poiché l’uso dei dati per finalità diverse da quelle lavorative resta contrario alla volontà del titolare del trattamento.
La Cassazione ha inoltre evidenziato che il licenziamento era proporzionato alla gravità della condotta, poiché la dipendente aveva violato sia le regole penali che quelle interne dell’ente.
Il comportamento, ritenuto incompatibile con il rapporto di fiducia tra datore di lavoro e dipendente, giustifica quindi la massima sanzione disciplinare prevista.
Le violazioni riscontrate
L’accesso abusivo al sistema informatico ha rilevanza su tre livelli:
- penale, ai sensi dell’art. 615-ter c.p.;
- disciplinare, per violazione del codice di condotta e delle policy aziendali;
- data protection, perché costituisce un trattamento non autorizzato di dati personali, in contrasto con i principi del GDPR.
Dal punto di vista del Regolamento europeo, una condotta di questo tipo infrange i principi di liceità, limitazione delle finalità e minimizzazione dei dati (art. 5) e può rappresentare un data breach interno ai sensi degli articoli 32 e 33.
In tali casi, il titolare del trattamento deve valutare se l’evento comporti un rischio per i diritti e le libertà degli interessati e, se necessario, notificare la violazione all’autorità di controllo.
Per approfondire > Data breach: la guida pratica dell’EDPB per le notifiche e gestione del rischio (soprattutto quello umano)
Le lezioni per aziende e DPO
Questa sentenza offre un chiaro insegnamento a chi gestisce informazioni riservate: non basta autorizzare l’accesso ai dati, occorre governarne l’uso.
Per ridurre i rischi di accesso abusivo e garantire la conformità al GDPR, le aziende dovrebbero:
- predisporre policy interne che definiscano con precisione chi può accedere a quali dati e per quali finalità;
- implementare sistemi di logging e tracciamento degli accessi ai database;
- aggiornare i codici di condotta aziendali in linea con il principio di accountability.
Per approfondire > Il principio di Accountability nel GDPR e i documenti utili; - formare periodicamente il personale sui rischi connessi all’uso improprio delle credenziali e alla gestione dei dati sensibili.
L’adozione di queste misure consente non solo di prevenire reati, ma anche di dimostrare la corretta applicazione delle misure tecniche e organizzative previste dal GDPR.
L’uso dei dati per finalità diverse da quelle lavorative è contrario alla volontà del titolare del trattamento
La Cassazione ribadisce che l’accesso abusivo a sistema informatico non richiede la violazione di barriere tecniche: è sufficiente un uso dei dati per fini personali o estranei al servizio.
Per aziende e DPO, questo rappresenta un monito e un’occasione per rafforzare i controlli interni, aggiornare i codici di condotta e investire nella formazione dei dipendenti, elemento chiave della sicurezza e della conformità.
Vuoi verificare se le tue policy interne rispettano i principi del GDPR e se le autorizzazioni al trattamento dei dati sono adeguate?