La Corte di Cassazione ha recentemente sancito, con la sentenza 25147/14, la legittimità del licenziamento per giusta causa di un dipendente che copiò su un supporto di archiviazione di proprietà documenti aziendali importanti, anche se non furono divulgati a terzi. Il licenziamento scatta anche per la mera sottrazione dei dati, anche se i file non sono protetti da password e sono liberamente accessibili dai dipendenti all’interno della rete aziendale.
I Giudici della Corte di Cassazione hanno rigettato il ricorso del dipendente dopo che la corte d’Appello aveva giudicato legittima la sanzione espulsiva. Il giudice di secondo gravo riteneva grave la condotta del lavoratore per aver trasferito su una pen drive personale, poi smarrita e ritrovata casualmente in azienda, numerosi documenti aziendali. Non ha rilievo la tesi difensiva del dipendente licenziato, che faceva perno sulla mancata divulgazione all’esterno del materiale.
La Corte Suprema conferma la decisione sancita in appello, poiché il comportamento del dipendente è grave al punto da ledere irrimediabilmente il vincolo fiduciario con il datore di lavoro. Recita infatti la massima 1 relativa alla sentenza: “Sussiste il licenziamento per giusta causa nel caso qualora il dipendente copi sulla pen drive brevetti, disegni e altri documenti aziendali importanti sebbene non divulghi a terzi il materiale. Per far scattare la sanzione espulsiva basta la mera sottrazione dei dati non rilevando che questi ultimi siano o meno protetti da password”.
Alcuni dipendenti copiano dati riservati, quali disegni, progetti, strategie di marketing, liste clienti o altro, in vista del trasferimento presso un’altra azienda. Altri hanno in mente un disegno criminoso di concorrenza sleale, altri ancora copiano i dati per comodità. Ma questa abitudine, consolidata in molte aziende, nasconde diverse insidie. I dati riservati escono dal controllo dell’azienda, possono andare perduti o finire in mani sbagliate. Allo stesso modo è rischioso il montaggio di pen drive personali su computer collegati alla rete aziendale: i supporti personali dei dipendenti possono contenere file pericolosi, virus malware che possono infettare i sistemi.
L’utilizzo improprio di supporti di memorizzazione all’interno dell’azienda è una delle cause principali di fuga di informazioni riservate. Non necessariamente vi è alla base un comportamento illecito da parte di un dipendente, talvolta i dati possono andare perduti per distrazione o per negligenza. L’uso di supporti esterni di memorizzazione, come hard disk usb o pen drive, dovrebbero essere limitati da apposite policy o regolamenti aziendali.
Esistono inoltre dei sistemi di monitoraggio informatico, perfettamente legali se accompagnati da opportune policy e procedure, che consentono di individuare in tempo reale eventuali dispositivi esterni che si collegano ai pc collegati alla rete dell’azienda, monitorando quanti e quali file siano copiati in ingresso o in uscita. Il datore di lavoro può configurare la “sonda” per inviare automaticamente una mail qualora accadesse un evento pericoloso: non solo l’utilizzo dei supporti esterni, ma anche l’accesso a determinati siti web, l’invio di mail con allegati o altri comportamenti ritenuti a rischio.
Le aziende che ancora non hanno sotto controllo i loro dati dovrebbero sottoporre le procedure e l’architettura della rete informatica ad risk assessment, compiuto da professionisti qualificati in grado di individuare le eventuali criticità e proporre un piano di mitigazione dei rischi. Talvolta bastano delle policy ben fatte per mettere i propri asset aziendali al sicuro.
Prima di agire, conosci.