In Italia, informaticamente parlando (ma anche sotto altri aspetti), tutto (il peggio) è possibile: anche che la Giurisprudenza debba ribadire l’ovvio, lo scontato, il lapalissiano, esattamente come il titolo di questo articolo. Dovrebbe essere una verità inequivocabilmente scontata e palese per tutti, ma evidentemente non lo è se una sentenza della Suprema Corte (sent. n. 50205) ha confermato la condanna penale di un dirigente che aveva utilizzato le credenziali di accesso di un suo “sottoposto” per accedere al sistema informatico aziendale.
🔑 i FATTI:
– il dirigente si era fatto comunicare le credenziali di un collaboratore
– aveva utilizzato queste credenziali per accedere a circa 90.000 schede individuali
– riteneva (a torto) che la sua posizione gerarchica lo legittimasse a tale comportamento
⚠️ PRINCIPIO stabilito dalla Suprema Corte:
– La posizione di superiore gerarchico NON autorizza l’accesso ai dati tramite credenziali altrui: questo comportamento integra il reato di ACCESSO ABUSIVO a SISTEMA INFORMATICO (art. 615-ter c.p.)
📋 CONSEGUENZE PRATICHE per AZIENDE e ORGANIZZAZIONI:
– Ogni dipendente deve avere CREDENZIALI PERSONALI e non cedibili;
– Le DELEGHE di ACCESSO devono essere espressamente AUTORIZZATE;
– Va implementato un SISTEMA di PROFILAZIONE UTENTI con diversi LIVELLI di AUTORIZZAZIONE;
– Occorre una POLICY AZIENDALE chiara sulla GESTIONE delle CREDENZIALI;
– Rischio di responsabilità penale per i TRASGRESSORI.
💡 AZIONI da intraprendere:
– Revisione tempestiva delle policy di accesso ai sistemi ICT;
– Implementazione di protocolli di sicurezza informatica (AUTENTICAZIONE, PROFILAZIONE, AUTORIZZAZIONE e PROTEZIONE) adeguati;
– Formazione specifica del personale;
– Vulnerability Assessment e Audit dei sistemi;
– Adeguamento dei modelli organizzativi al GDPR.
Come ripeto spesso ai miei studenti e contatti professionali, la sentenza (una delle tante) sottolinea come la Cybersecurity non sia solo una questione tecnica, ma anche legale, con rilevanti profili di responsabilità penale (a questo indirizzo, chi fosse interessato può reperire e leggere la sentenza con calma)
dmzware.com 